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内 容 简 介 


全 书 共 分 3 篇 15 章 。 第 1 篇 为 网 络 安全 基础 ， 共 3 章 ， 主 要 讨论 网 络 安全 的 基础 知识 ， 第 2 篇 为 
密码 学 基础 ， 共 5 章 ， 详 细 讨论 各 种 密码 算法 和 技术 ， 特 别 深入 地 介绍 我 国 已 公布 的 标准 密码 算法 ， 
第 3 篇 为 网 络 安全 技术 与 应 用 ， 共 7 章 ， 深 入 介绍 网 络 实践 中 常用 的 一 些 网 络 安全 技术 及 产品 。 




















丰富 ， 概 念 清楚 ， 语 言 精练 。 在 网 络 安全 基本 知识 和 密码 学 理论 的 阐述 上 ， 力 求 深入 浅 


出 ， 通 俗 易 懂 ; 在 网 络 安全 技术 与 产品 的 讲解 上 ， 力 求 理 论 联 系 实际 ， 面 向 具体 应 用 。 本 书 在 每 章 的 
后 面 提供 了 思考 题 和 练习 题 ， 以 便于 读者 巩固 所 学 的 知识 点 ; 在 书 示 也 提供 了 大 量 的 参考 文献 ， 使 于 
有 兴趣 的 读者 继续 深入 学 习 有 关内 容 。 

本 书 可 作为 信息 安全 、 信 息 对 抗 技术 、 密 码 学 等 专业 的 本 科 生 教 材 ， 也 可 以 用 作 网 络 空间 安全 一 
级 学 科 的 研究 生 教材 。 对 于 广大 网 络 安全 工程 师 、 网 络 管理 员 和 IT 从 业 人 员 来 说 ， 本 书 也 是 很 好 的 参 
考 书 和 培训 教材 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ， 无 标签 者 不 得 销售 。 
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出 版 说 明 一 


21 世纪 是 信息 时 代 ,信息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮 乏 , 远 远 不 能 满足 金融 ` 商 业 \` 公 安 、 军 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 
育 专 业 委 员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 "编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 脆性 
的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深入 。 系 
列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 衣 、 又 在 教学 第 一 线 有 丰富 
的 教学 经 验 的 学 者 、 专 家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

D 体系 完整 .结构 合理 .内容 先进 。 

© 适应 面 广 :能 够 满足 信息 安全 、 计 算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

O 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 、 习 题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科 学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 遵 选 了 一 批 国 外 信息 安全 领域 优秀 的 教材 如 入 到 系列 教材 中 ,以 进一步 
满足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 ”已 于 2006 年 
年 初 正式 列 人 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 
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又 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实 施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 ”* 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ?成立 。 经 组 织 审 
查 和 研究 决定 ,2014 年 以 “教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 
布 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正式 出 版 ) 。 

2015 年 6 月 ,国务 院 学 位 委员 会 .教育 部 出 台 增 设 “ 网 络 空间 安全 ”为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空 间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 (下 文 简称 中 央 网 信 办 ) 、 国 家 发 展 和 改革 委员 会 教育 部 、 科 学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 (中 网 办 发 文 [2016]4 号 )。 为 贯彻 落实 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 》, 进 一 步 深化 高 等 教育 教学 改革 ,促进 网 络 安 全 学 科 专 业 建 设 和 人 才 
培养 ,促进 网 络 空 间 安 全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 信息 安全 专业 教学 
指导 委员 会 和 中 央 网 信 办 资助 的 网 络 空 间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空 
间 安 全 重点 规划 丛书 ”的 工作 ,由 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 秘书 长 封 
化 民 校 长 担任 编 委 会 主任 。 本 规划 从 书 基 于 “高 等 院 校 信息 安全 专业 系列 教材 ”坚实 的 工 
作 基 础 和 成 果 、 阵 容 强 大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教育 
部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 "“ 普 通 高 等 教育 精品 
教材 "“ 中 国 大 学 出 版 社 图 书 奖 ”" 和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 丛书” 将 根据 (高 等 学 校 信 息 安全 专业 指导 性 专业 规范 》( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教 材 建设 ,学术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn ,联系 人 : IKE. 


“网 络 空间 安全 重点 规划 丛书 ”编审 委员 会 
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为 了 加 强 网 络 空间 安全 专业 人 才 的 培养 ， 教 育 部 已 正式 批准 在 29 所 大 
学 设立 网 络 空间 安全 一 级 学 科 博 士 点 , 全 国 已 有 128 所 高 校 相继 设立 了 信息 
安全 或 信息 对 抗 本 科 专 业 。 为 了 提高 网 络 空间 安全 人 才 培 养 质 量 , 急需 编写 
出 版 一 批 高 水 平 的 网 络 空间 安全 优秀 教材 。 

作者 作为 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 委员 和 中 国 密 
码 学 会 理事 , 参与 编写 了 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 编制 
的 《高 等 学 校 信息 安全 专业 指导 性 专业 规范 》。 在 本 书 的 编写 过 程 中 ， 力 求 
使 本 教材 的 知识 体系 和 知识 点 符合 《高 等 学 校 信息 安全 专业 指导 性 专业 规 
范 》 的 要 求 ， 并 加 入 了 对 国产 密码 算法 的 阐述 。 

全 书 共 分 3 篇 15 章 。 第 1 篇 为 网 络 安全 基础 ， 共 3 章 ， 主 要 介绍 网 络 
安全 的 基本 概念 、 计 算 机 网 络 的 基础 知识 ， 以 及 TCP/IP 协议 族 的 安全 性 。 
第 2 篇 为 密码 学 基础 ， 共 5 章 ， 主 要 介绍 密码 学 中 的 各 种 密码 算法 和 协议 。 
第 3 篇 为 网 络 安全 技术 与 应 用 ， 共 7 章 ， 主 要 介绍 PKIUCA、 密 钥 管理 、 无 
线 网 络 安全 ， 以 及 防火 墙 、VPN、IDS 和 身份 认证 等 网 络 安全 技术 与 应 用 。 

本 书 主要 有 以 下 特色 : 

C1) 基本 概念 清晰 ， 表 述 深入 浅 出 。 在 基本 概念 的 阐述 上 ， 力 求 准确 而 
精练 ; 在 语言 的 运用 上 ， 力 求 顺畅 而 自然 。 作 者 尽量 避免 使 用 临 涩 难 懂 的 语 
言 描述 深奥 的 理论 和 技术 知识 ， 而 是 借助 大 量 的 图 表 进 行 曾 述 。 

(2) 内 容 全 面 ,涵盖 密码 学 和 网 络 安 全 技术 。 本 书 既 介绍 了 现代 密码 学 
的 知识 ,又 阐述 了 网 络 安全 的 理论 与 技术 , 特别 适合 于 将 密码 学 和 网 络 安全 
合并 为 一 门 课 进行 授课 的 高 校 。 

G) 理论 与 实践 相 结 合 。 针 对 某 些 网 络 安全 技术 和 产品 ， 本 书 给 出 相应 
的 网 络 安全 解决 方案 , 从 而 使 读者 能 够 深入 而 全 面 地 了 解 网 络 安全 技术 的 具 
体 应 用 ， 以 提高 读者 独立 分 析 问 题 和 解决 问题 的 能 力 。 

(4) 每 章 后 面 都 附 有 精心 其 酌 和 编排 的 思考 题 。 通 过 深入 分 析 和 讨论 思 
考题 中 所 列 问题 ， 读 者 可 加 强 对 每 章 所 学 基本 概念 和 理论 的 理解 ， 从 而 进 一 
步 巩 固 所 学 的 知识 。 

(5) 本 书 详细 列 出 了 大 量 的 参考 文献 。 这些 参考 文献 为 网 络 空 间 安全 学 
科 的 研究 生 和 密码 学 、 信 息 安全 、 信 息 对 抗 技术 等 专业 的 本 科 生 ， 以 及 其 他 
网 络 安全 技术 人 员 提 供 了 深入 研究 相关 专题 的 途径 和 资料 。 
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在 计算 机 发 明之 前 ， 人 们 主要 靠 物理 手段 〈 如 保险 柜 ) 和 行政 手段 (如 制定 相应 的 
规章 制度 ) 来 保证 重要 信息 的 安全 。 在 第 二 次 世界 大 战 期 间 ， 人 们 发 明了 各 种 机 械 密 码 
机 ， 以 保证 军事 通信 的 安全 。 虽 然 这 些 机 械 密码 机 在 今天 看 来 其 安全 性 非常 有 限 ， 但 它 
们 在 第 二 次 世界 大 战 中 战功 卓著 ， 其 设计 的 精巧 令 人 人 惊叹。 第 二 次 世界 大 战 期 间 使 用 的 
各 种 机 械 密码 机 如 图 1-1 所 示 。 








图 1-1 第 二 次 世界 大 战 期 间 使 用 的 各 种 机 械 密 码 机 


自 1946 年 2 月 14 日 世界 上 第 一 台 计 算 机 ENIAC 在 美国 宾夕法尼亚 大 学 诞生 以 来 ， 
人 们 对 信息 安全 的 需求 经 历 了 两 次 重大 的 变革 。 计 算 机 的 发 明 给 信息 安全 带 来 了 第 一 次 
变革 。 计 算 机 用 户 的 许多 重要 文件 和 信息 均 存 储 于 计算 机 中 ， 因 此 对 这 些 文件 和 信息 的 
安全 保护 成 为 一 个 重要 的 研究 课题 。 人 们 迫切 需要 自动 的 加 密 工 具 对 这 些 重 要 文件 和 机 
密 数 据 进行 加 密 ， 同 时 需要 对 这 些 文件 设置 访问 控制 权限 ， 还 需要 保证 数据 免 遭 非法 筑 
改 。 这 一 切 均 属于 计算 机 安全 的 研究 范畴 。 

计算 机 网 络 及 分 布 式 系统 的 出 现 给 信息 安全 带 来 了 第 二 次 变革 。 人 们 通过 各 种 通信 
网 络 进行 数据 的 传输 、 交 换 、 存 储 、 共 享 和 分 布 式 计算 。 网 络 的 出 现 给 和 人们 的 工作 和 生 
活 带 来 了 极 大 的 便利 ， 但 同时 也 带 来 了 极 大 的 安全 风险 。 在 信息 传输 和 交换 时 ， 需 要 对 
通信 信道 上 传输 的 机 密 数 据 进行 加 密 ; 在 数据 存储 和 共享 时 ， 需 要 对 数据 库 进行 安全 的 
访问 控制 和 对 访问 者 授权 ， 在 进行 多 方 计算 时 ， 需 要 保证 各 方 机 密 信息 不 被 泄漏 。 这 些 
均 属于 网 络 安全 的 范畴 。 

实际 上 ， 上 述 两 种 形式 的 安全 并 没有 明确 的 界限 。 目 前 ， 几 乎 所 有 的 计算 机 均 与 
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Internet 相连 , 计算 机 主机 的 安全 会 直接 影响 网 络 安全 ， 网 络 安全 也 会 直接 导致 计算 机 主 
机 的 安全 问题 。 例 如 ， 对 信息 系统 最 常见 的 攻击 就 是 计算 机 病毒 ， 它 可 能 最 先 感染 计算 
机 的 磁盘 和 其 他 存储 介质 ， 然 后 加 载 到 计算 机 系统 上 ， 并 通过 Internet 传播 。 

本 书 主要 讨论 网 络 安全 ， 涉 及 内 容 非常 广泛 ， 既 包括 计算 机 网 络 安全 的 问题 ， 又 包 
括 通信 网 安全 的 问题 。 为 了 便于 读者 对 本 书 所 讨论 的 内 容 有 比较 感性 的 认识 ， 下 面 先 举 
几 个 与 网 络 安全 有 关 的 例子 。 

a) 用 户 Alice 向 用 户 Bob 传送 一 个 包含 敏感 信息 〈 如 工资 单 ) 的 文件 。 出 于 安全 
考虑 ，Alice 将 该 文件 加 密 。 恶 意 的 窃听 者 Eve 可 以 利用 数据 嗅 探 软件 在 网 络 上 截获 该 加 
密 文件 ， 并 千方百计 地 对 其 解密 以 求 获得 该 敏感 信息 。 

(2) 网 络 管理 员 Alice 向 计算 机 Bob 发 送 一 条 消息 ， 命 令 计算 机 Bob 更 新 权限 控制 
文件 以 允许 新 用 户 可 以 访问 计算 机 。 攻 击 者 Eve 截获 并 修改 该 消息 ， 并 冒充 管理 员 向 计 
算 机 Bob 发 出 修改 访问 权限 的 命令 , 而 Bob 误 以 为 是 管理 员 发 来 的 消息 并 按照 Eve 的 命 
令 更 新 权限 文件 。 

(3) 在 网 上 进行 电子 交易 时 ， 客 户 Alice 会 将 订单 发 给 商家 Bob. Bob 接 到 订单 后 ， 
会 与 客户 的 开户 行 联系 ， 以 确认 客户 的 账户 存在 并 有 足够 的 支付 能 力 。 此 后 ， 商 家 将 确 
认 信 息 发 给 客户 ， 并 自动 将 货款 划拨 到 商家 的 账户 上 。 如 果 Bob 是 不 法 商家 ， 他 在 收 到 
货款 后 ， 会 拒绝 给 客户 发 货 ， 或 者 抵赖 ， 否 认 客 户 曾经 下 过 订单 。 

(4) 用 户 Alice 购买 了 一 部 移动 电话 ， 在 使 用 网 络 服务 之 前 ， 她 必须 通过 注册 获得 
一 个 SIM 卡 或 UIM 卡 。 当 她 打开 手机 时 ， 网 络 会 对 Alice 的 身份 进行 认证 。 如 果 Alice 
是 一 个 不 法 用 户 ， 她 可 以 使 用 盗 取 的 SIMUM 卡 免费 使 用 网 络 提供 的 服务 ， 当然 ， 如 果 
基站 是 假冒 的 ， 它 也 会 获取 Alice 的 一 些 秘 密 个 人 信息 。 

虽然 以 上 例子 无 法 涵盖 网 络 中 存在 的 所 有 安全 风险 ， 但 是 这 些 例子 使 我 们 对 网 络 安 
全 的 重要 性 有 了 初步 的 了 解 。 

一 般 来 说 ， 信 息 安 全 有 以 下 3 个 基本 目标 : 

(1) 保密 性 〈confidentiality)。 即 确保 信息 不 被 泄漏 或 呈现 给 非 授权 的 人 。 

(2) 完整 性 (integrity)。 即 确保 数据 的 一 致 性 ; 特别 要 防止 非 授权 地 生成 、 修 改 或 
毁坏 数据 。 

(3) 可 用 性 (availability )。 即 确保 合法 用 户 不 会 无 缘 无 故地 被 拒绝 访问 信息 或 资源 。 

在 今天 的 网 络 环境 下 ， 还 有 一 个 基本 的 目标 是 不 能 被 忽视 的 ， 它 就 是 合法 使 用 。 

(4) 合法 使 用 (Legitimate Use)。 确 保 资源 不 被 非 授权 的 人 或 以 非 授权 的 方式 使 用 。 

为 了 支持 这 些 基本 的 安全 目标 ， 网 络 管理 员 需 要 有 一 个 非常 明确 的 安全 策略 ， 并 且 
需要 实施 一 系列 的 安全 措施 来 确保 安全 策略 所 描述 的 安全 目标 能 够 得 以 实现 。 本 书 描述 
的 两 大 类 分 别 属 于 通信 安全 和 计算 机 安全 的 范畴 。 通 信安 全 是 对 通信 过 程 中 所 传输 的 信 
息 施 加 保护 ;计算 机 安全 则 是 对 计算 机 系统 中 的 信息 施加 保护 ， 它 包含 操作 系统 安全 和 
数据 库 安 全 两 个 子 类 。 此 外 , 还 有 一 类 属于 网 络 安全 的 范畴 ， 它 包括 网 络 边界 安全 、Web 
安全 及 电子 邮件 安全 等 内 容 。 通 信安 全 、 计 算 机 安全 和 网 络 安全 措施 需要 与 其 他 类 型 的 
安全 措施 ， 诸 如 物理 安全 和 人 员 安 全 措施 配合 使 用 ， 才 能 更 有 效 地 发 挥 作用 。 本 章 主要 
介绍 如 下 一 些 基 本 的 概念 : 
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网 络 安全 需求 。 
安全 威胁 与 防护 措施 。 
网 络 安全 策略 。 
安全 攻击 的 分 类 。 
网 络 攻击 的 常见 形式 。 
网 络 安全 服务 。 
网 络 安全 机 制 。 
e 网 络 安全 的 一 般 模型 。 
在 后 面 的 章节 中 ， 将 详细 讨论 网 络 安全 实践 中 常用 的 理论 和 技术 ， 并 结合 一 些 具体 
的 网 络 应 用 ， 介 绍 一 些 网 络 安全 产品 和 网 络 安全 解决 方案 。 


14 ”对 网 络 安 全 的 需求 











在 人 们 的 日 常生 活 及 赖 以 生存 的 这 个 世界 中 ， 信 息 、 信 息 资产 及 信息 产品 已 经 变 得 
至 关 重 要 。 加 强 网 络 安全 的 必要 性 可 以 从 具体 发 生 的 安全 事件 中 得 到 证 明 。 公 开 报 道 的 
安全 事件 实际 上 只 占 很 小 的 比例 ， 事 实 上 ， 人 们 不 愿 对 所 发 生 的 安全 事件 进行 宣扬 ， 其 
原因 有 很 多 。 在 政府 部 门 中 ， 泄 漏 有 关 安 全 漏洞 及 系统 脆弱 性 信息 是 受到 严格 控制 的 ， 
与 安全 有 关 的 信息 也 是 严格 保密 的 ， 因 为 一 旦 公布 了 这 些 信息 ， 敌 手 就 会 利用 这 些 信息 
来 攻击 其 他 类 似 的 系统 ， 从 而 给 这 些 系 统 带 来 潜在 的 威胁 。 在 商业 市 场 中 ， 人 们 不 愿 公 
开 与 安全 有 关 的 信息 也 是 出 于 自身 利益 的 考虑 。 例 如 ， 银 行 及 其 他 金融 机 构 都 不 愿 公开 
承认 他 们 的 系统 存在 安全 问题 ， 因 为 公开 其 安全 问题 会 使 用 户 对 银行 在 保护 其 财产 方面 
的 能 力 产生 怀疑 ， 从 而 将 他 们 的 资金 或 资产 转移 到 其 他 金融 机 构 或 银行 。 造 成 这 种 对 安 
全 信息 进行 封锁 的 状况 还 受到 来 自 法 律 和 潜在 损失 等 因素 的 影响 。 例 如 ， 若 某 个 公司 保 
存 有 许多 用 户 的 信息 ， 公 司 要 对 这 些 信 息 的 任何 非 授权 泄漏 承担 法 律 责任 。 因 此 ， 一 旦 
计算 机 系统 受到 入 侵 造成 所 保护 信息 泄漏 ， 该 公司 不 会 公开 承认 信息 的 丢失 。 昌 然 政府 
部 门 和 商业 部 门 对 本 部 门 发 生 的 安全 事件 的 报道 有 着 极其 严格 的 限制 ， 但 是 由 于 网 络 的 
广泛 使 用 ， 要 对 发 生 安全 事件 的 信息 进行 全 面 的 保护 与 限制 是 不 可 能 的 。 


1.1.1 网 络 安全 发 展 态势 


在 今天 的 计算 机 技术 产业 中 ， 网 络 安全 是 急需 解决 的 最 重要 的 问题 之 一 。 由 美国 律 
师 联 合 会 (American Bar Association) 所 做 的 一 项 与 安全 有 关 的 调查 发 现 ， 有 40% 的 被 
调查 者 承认 在 他 们 的 机 构 内 曾经 发 生 过 计算 机 犯罪 事件 。 在 过 去 的 儿 年 里 ，Internet 继续 
RERE, Internet 用 户 数量 急剧 攀升 。 随 着 网 络 基础 设施 的 建设 和 Internet 用 户 的 激增 ， 
网 络 与 信息 安全 问题 越 来 越 严 重 ， 因 黑客 事件 而 造成 的 损失 也 越 来 越 巨大 。 

第 一 ， 计 算 机 病毒 层出不穷 ， 肆 虐 全 球 ， 并 且 逐 渐 呈 现 新 的 传播 态势 和 特点 。 其 主 
要 表现 是 传播 速度 快 ， 与 黑客 技术 结合 在 一 起 而 形成 的 “ 混 种 病毒 ”和 “变异 病毒 ” 越 
来 越 多 。 病 毒 能 够 自我 复制 ， 主 动 攻击 与 主动 感染 能 力 增强 。 当 前 ， 全 球 计算 机 病毒 已 
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达 8 万 多 种 ， 每 天 要 产生 5 一 10 种 新 病毒 。 

第 二 ， 黑 客 对 全 球 网 络 的 恶意 攻击 势头 逐年 攀升 。 近 年 来 ， 网 络 攻击 还 呈现 出 黑客 
技术 与 病毒 传播 相 结合 的 趋势 。2001 年 以 来 ， 计 算 机 病毒 的 大 规模 传播 与 破坏 都 同 黑客 
技术 的 发 展 有 关 ， 二 者 的 结合 使 病毒 的 传染 力 与 破坏 性 倍增 。 这 意味 着 网 络 安全 过 到 了 
新 的 挑战 ， 即 集 病 毒 、 木 马 、 蠕 虫 和 网 络 攻击 为 一 体 的 威胁 ， 可 能 造成 快速 、 大 规模 的 
感染 ， 造 成 主机 或 服务 器 瘫痪 ， 数 据 信息 丢 失 ， 损 失 不 可 估量 。 在 网 络 和 无 线 电 通信 普 
及 的 情况 下 , 尤其 是 在 计算 机 网 络 与 无 线 通信 融合 、 国 家 信息 基础 设施 网 络 化 的 情况 下 ， 
黑客 加 病毒 的 攻击 很 可 能 构成 对 网 络 生存 与 运行 的 致命 威胁 。 如 果 黑 客 对 国家 信息 基础 
设施 中 的 任何 一 处 目标 发 起 攻击 ， 都 可 能 导致 巨大 的 经 济 损失 。 

第 1 于 技术 和 设计 上 的 不 完备 ， 导 致 系统 存在 缺陷 或 安全 漏洞 。 这 些 漏洞 或 缺 
陷 主 要 存在 于 计算 机 操作 系统 与 网 络 软件 之 中 。 例 如 ， 微 软 的 Windows XP 操作 系统 中 
含有 数 项 严重 的 安全 漏洞 ， 黑 客 可 以 透 过 此 漏洞 实施 网 络 窃取 、 销 毁 用 户 资料 或 擅自 安 
装 软件 ， 乃 至 控制 用 户 的 整个 计算 机 系统 。 正 是 因为 计算 机 操作 系统 与 网 络 软件 难以 完 
全 克服 这 些 漏 洞 和 缺陷 ， 使 得 病毒 和 黑客 有 了 可 乘 之 机 。 由 于 操作 系统 和 应 用 软件 所 采 
用 的 技术 越 来 越 先进 和 复杂 ， 因 此 带 来 的 安全 问题 就 越 来 越 多 。 同 时 ， 由 于 黑客 工具 随 
手 可 得 ， 使 得 网 络 安全 问题 越 来 越 严重 。 所 谓 “ 网 络 是 安全 的 ”说 法 只 是 相对 的 ， 根 本 
无 法 达到 “绝对 安全 ”的 状态 。 

第 四 ， 世 界 各 国 军 方 都 在 加 紧 进行 信息 战 的 研究 。 近 几 年 来 ， 黑 客 技术 已 经 不 再 局 
限于 修改 网 页 、 删 除数 据 等 惯用 的 伎俩 ， 而 是 堂而皇之 地 登 上 了 信息 战 的 舞台 ， 成 为 信 
息 作 战 的 一 种 手段 。 信 息 战 的 威力 之 大 ， 在 某 种 程度 上 不 亚 于 核武 器 。 在 海湾 战争 、 科 
索 沃 战争 及 巴 以 战争 中 ， 信 息 战 发 挥 了 巨大 的 威力 。 

今天 ,“ 制 信息 权 ” 已 经 成 为 衡量 一 个 国家 实力 的 重要 标志 之 一 。 信 息 空间 上 的 信息 
大 战 正在 悄悄 而 积极 地 酝酿 ， 小 规模 的 信息 战 一 直 不 断 出 现 、 发 展 和 扩大 。 信 息 战 是 信 
息 化 社会 发 展 的 必然 产物 。 在 信息 战场 上 能 和 否 取得 控制 权 ， 是 赢得 政治 、 外 交 、 军 事 和 
经 济 斗 争 胜利 的 先决 条 件 。 信 息 安 全 问题 已 成 为 影响 社会 稳定 和 国家 安危 的 战略 性 问题 。 


1.1.2 ”敏感 信息 对 安全 的 需求 


与 传统 的 邮政 业务 和 有 纸 办 公 不 同 ， 现 代 的 信息 传递 、 存 储 与 交换 是 通过 电子 和 光 
子 完成 的 。 现 代 通 信 系统 可 以 让 人 类 实现 面对面 的 电视 会 议 或 电话 通信 。 然 而 ， 流 过 信 
息 系 统 的 信息 有 可 能 十 分 敏感 ， 因 为 它们 可 能 涉及 产权 信息 、 政 府 或 企业 的 机 密 信息 ， 
或 者 与 企业 之 间 的 竞争 密切 相关 。 目 前 ， 许 多 机 构 已 经 明确 规定 ， 对 网 络 上 传输 的 所 有 
信息 必须 进行 加 密 保护 。 从 这 个 意义 上 讲 ， 必 须 对 数据 保护 、 安 全 标准 与 策略 的 制定 
安全 措施 的 实际 应 用 等 各 方面 工作 进行 全 面 的 规划 和 部 署 。 

根据 多 级 安全 模型 ， 通 常 将 信息 的 密级 由 低 到 高 划分 为 秘密 级 、 机 密级 和 绝密 级 ， 
以 确保 每 一 密级 的 信息 仅 能 让 那些 具有 高 于 或 等 于 该 权限 的 人 使 用 。 所 谓 机 密 信息 和 绝 
密 信息 ， 是 指 国家 政府 对 军事 、 经 济 、 外 交 等 领域 严 加 控制 的 一 类 信息 。 军 事 机 构 和 国 
家 政府 部 门 应 特别 重视 对 信息 施加 严格 的 保护 ， 特 别 应 对 那些 机 密 和 绝密 信息 施加 严格 
的 保护 措施 。 对 于 那些 被 认为 敏感 但 非 机 密 的 信息 ， 也 需要 通过 法 律 手段 和 技术 手段 加 
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以 保护 ， 以 防止 信息 泄漏 或 被 恶意 修改 。 事 实 上 ， 一 些 政府 部 门 的 信息 是 非 机 密 的 ， 但 
它们 通常 属于 敏感 信息 。 一 旦 泄漏 这 些 信息 ， 有 可 能 对 社会 的 稳定 造成 危害 。 因 此 ， 不 
能 通过 未 加 保护 的 通信 媒介 传送 此 类 信息 ， 而 应 该 在 发 送 前 或 发 送 过 程 中 对 此 类 信息 进 
行 加 密 保 护 。 当 然 ， 这 些 保 护 措施 的 实施 是 要 付出 代价 的 。 除 此 之 外 ， 在 系统 的 方案 设 
计 、 系 统管 理 和 系统 的 维护 方面 还 需要 花费 额外 的 时 间 和 精力 。 近 年 来 ， 一 些 采 用 极 强 
防护 措施 的 部 门 也 面临 着 越 来 越 严 重 的 安全 威胁 。 今 天 的 信息 系统 不 再 是 一 个 孤立 的 系 
统 ， 通 信和 网络 已 经 将 无 数 个 独立 的 系统 连接 在 一 起 。 在 这 种 情况 下 ， 网 络 安全 也 呈现 出 
许多 新 的 形式 和 特点 。 


1.1.3 ”网 络 应 用 对 安全 的 需求 


Internet 从 诞生 到 现在 只 有 短 短 几 十 年 的 时 间 , 但 其 爆炸 式 的 技术 发 展 速度 远 远 超过 
人 类 历史 上 任何 一 次 技术 革命 。 然 而 ， 从 长 远 发 展 趋势 来 看 ， 现 在 的 Internet 还 处 于 发 
展 的 初级 阶段 ，Internet 技术 存在 着 巨大 的 发 展 空间 和 潜力 。 

随 着 网 络 技术 的 发 展 ， 网 络 视频 会 议 、 远 程 教育 等 各 种 新 型 网 络 多 媒体 应 用 不 断 出 
现 , 传统 的 网 络 体系 结构 越 来 越 显 示 出 局 限 性 。1996 年 , 美国 政府 制定 了 下 一 代 Internet 
(Next Generation Internet, NGI) 计划 ， 与 目前 使 用 的 Internet 相 比 ， 它 的 传输 速度 将 更 
快 、 规 模 更 大 ， 而 且 更 安全 。 


12 ”安全 威胁 与 防护 措施 











1.2.1 基本 概念 


所 谓 安全 威胁 ， 是 指 某 个 人 、 物 、 事 件 或 概念 对 某 一 资源 的 保密 性 、 完 整 性 、 可 用 
性 或 合法 使 用 所 造成 的 危险 。 攻 击 就 是 某 个 安全 威胁 的 具体 实施 。 

所 谓 防护 措施 ， 是 指 保护 资源 免 受 威 胁 的 一 些 物理 的 控制 、 机 制 、 策 略 和 过 程 。 脆 
弱 性 是 指 在 实施 防护 措施 中 或 缺少 防护 措施 时 系统 所 具有 的 弱点 。 

所 谓 风险 ， 是 对 某 个 已 知 的 、 可 能 引发 某 种 成 功 攻击 的 脆弱 性 的 代价 的 测度 。 当 某 
个 脆弱 的 资源 的 价值 越 高 且 成 功 攻击 的 概率 越 大 时 ， 风 险 就 越 高 ， 反之 ， 当 某 个 脆弱 资 
源 的 价值 越 低 且 成 功 攻击 的 概率 越 小 时 ， 风 险 就 越 低 。 风 险 分 析 能 够 提供 定量 的 方法 ， 
以 确定 是 否 应 保证 在 防护 措施 方面 的 资金 投入 。 

安全 威胁 有 时 可 以 分 为 故意 (如 黑客 渗透 ) 和 偶然 (如 信息 被 发 往 错 误 的 地 方 ) 两 
类 。 故意 的 威胁 又 可 以 进一步 分 为 被 动 攻击 和 主动 攻击 。 被动 攻击 只 对 信息 进行 监听 (如 
措 线 窃听 )， 而 不 对 其 进行 修改 。 主 动 攻击 却 对 信息 进行 故意 的 修改 〈 如 改动 某 次 金融 会 
话 过 程 中 货币 的 数量 )。 总 之 ， 被 动 攻击 比 主动 攻击 更 容易 以 更 少 的 花费 付 诸 实施 。 

目前 尚 没有 统一 的 方法 来 对 各 种 威胁 加 以 区 别 和 进行 分 类 ， 也 难以 理 清 各 种 威胁 之 
间 的 相互 关系 。 不 同 威胁 的 存在 及 其 严重 性 随 着 环境 的 变化 而 变化 。 然 而 ， 为 了 解释 网 
络 安全 服务 的 作用 ,我们 将 现代 计算 机 网 络 及 通信 过 程 中 常 遇 到 的 一 些 威胁 汇编 成 图 表 ， 
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如 图 1-2 AX 1-1 所 示 。 下 面 分 3 个 阶段 对 威胁 进行 分 析 : Q@ 基 本 的 威胁 ; @ 主 要 可 实 
现 威胁 ，@) 潜 在 威胁 及 分 类 。 

1.2.2 ”安全 威胁 的 来 源 

1. 基本 威胁 

下 面 4 种 基本 安全 威胁 直接 反映 本 章 开 篇 时 所 划分 的 4 个 安全 目标 : 

(1) 信息 泄漏 : 信息 被 泄漏 或 透露 给 某 个 非 授 权 的 人 或 实体 。 这 种 威胁 来 自 诸如 窃 
听 、 搭 线 或 其 他 更 加 错综复杂 的 信息 探测 攻击 。 

(2) 完整 性 破坏 : 数据 的 一 致 性 通过 非 授权 的 增删 、 修 改 或 破坏 而 受到 损坏 。 

(3) 拒绝 服务 : 对 信息 或 资源 的 访问 被 无 条 件 地 阻止 。 这 可 能 由 以 下 攻击 所 致 : Be 
击 者 通过 对 系统 进行 非法 的 、 根 本 无 法 成 功 的 访问 尝试 使 系统 产生 过 量 的 负荷 ， 从 而 导 
致 系统 的 资源 在 合法 用 户 看 来 是 不 可 使 用 的 。 拒 绝 服务 也 可 能 是 因为 系统 在 物理 上 或 多 
辑 上 受到 破坏 而 中 断 服务 。 

(4) 非法 使 用 : 某 一 资源 被 某 个 非 授权 的 人 或 以 某 种 非 授权 的 方式 使 用 。 例 如 ， 侵 
入 某 个 计算 机 系统 的 攻击 者 会 利用 此 系统 作为 盗用 电信 服务 的 基点 ， 或 者 作为 侵入 其 他 
系统 的 “桥头 堡 ”。 

2. 主要 的 可 实现 威胁 

在 安全 威胁 中 , 主要 的 可 实现 威胁 应 该 引起 高 度 关注 , 因为 这 类 威胁 一 旦 成 功 实施 ， 

会 直接 导致 其 他 任何 威胁 的 实施 。 主 要 的 可 实现 威胁 包括 渗入 威胁 和 植 入 威胁 。 

主要 的 渗入 威胁 有 如 下 几 种 ; 

(1) 假冒 。 某 个 实体 (人 或 系统 ) 假装 成 另外 一 个 不 同 的 实体 。 这 是 突破 某 一 安全 
防线 最 常用 的 方法 。 这 个 非 授权 的 实体 提示 某 个 防线 的 守卫 者 ， 使 其 相信 它 是 一 个 合法 
实体 ， 此 后 便 抽取 了 此 合法 用 户 的 权利 和 特权 。 黑 客 大 多 采取 这 种 假冒 攻击 方式 来 实施 
攻击 。 
(2) 旁 路 控制 。 为 了 获得 非 授 权 的 权利 和 特权 ， 某 个 攻击 者 会 发 抉 系统 的 缺陷 和 安 
全 漏洞 。 例 如 ， 攻 击 者 通过 各 种 手段 发 现 原本 应 保密 但 又 暴露 出 来 的 一 些 系统 “特征 ”。 
攻击 者 可 以 绕 过 防线 守卫 者 侵入 系统 内 部 。 

(3) 授权 侵犯 。 一 个 授权 以 特定 目的 使 用 某 个 系统 或 资源 的 人 ， 却 将 其 权限 用 于 其 
他 非 授权 的 目的 。 这 种 攻击 的 发 起 者 往往 属于 系统 内 的 某 个 合法 的 用 户 ， 因 此 这 种 攻击 
又 称 为 “内 部 攻击 ”。 
主要 的 植 入 类 型 的 威胁 有 如 下 几 种 : 

(1) 特洛伊 木马 (Trojan Horse)。 软 件 中 含有 一 个 不 易 觉 察 的 或 无 害 的 程序 段 ， 当 
被 执行 时 ， 它 会 破坏 用 户 的 安全 性 。 例 如 ， 一 个 表面 上 具有 合法 目的 的 应 用 程序 软件 ， 
如 文本 编辑 软件 ， 它 还 具有 一 个 暗藏 的 目的 ， 就 是 将 用 户 的 文件 复制 到 一 个 隐藏 的 秘密 
文件 中 ， 这 种 应 用 程序 就 称 为 特洛伊 木马。 此 后 ， 植 入 特洛伊 木马 的 那个 攻击 者 就 可 以 
阅读 到 该 用 户 的 文件 。 

(2) 陷 门 〈Trapdoor)。 在 某 个 系统 或 其 部 件 中 设置 “机 关 ”， 使 在 提供 特定 的 输入 
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数据 时 ， 人 允许 违反 安全 策略 。 例 如 ， 如 果 在 一 个 用 户 登 录 子 系统 上 设 有 陷 门 ， 当 攻击 者 
输入 一 个 特别 的 用 户 身份 号 时 ， 就 可 以 绕 过 通常 的 口令 检测 。 


3. 潜在 威胁 

在 某 个 特定 的 环境 中 ， 如 果 对 任何 一 种 基本 威胁 或 主要 的 可 实现 的 威胁 进行 分 析 ， 
就 能 够 发 现 某 些 特定 的 潜在 威胁 ， 而 任意 一 种 潜在 的 威胁 都 可 能 导致 一 些 更 基本 的 威胁 
发 生 。 例 如 , 在 对 信息 泄漏 这 种 基本 威胁 进行 分 析 时 ， 有 可 能 找 出 以 下 几 种 潜在 的 威胁 : 

(1) 窃听 (Eavesdropping). 

(2) 流量 分 析 (Traffic Analysis). 

(3) 操作 人 员 的 不 慎 所 导致 的 信息 泄漏 。 

(4) 媒体 废弃 物 所 导致 的 信息 泄漏 。 

图 1-2 列 出 了 一 些 典 型 的 威胁 及 它们 之 间 的 相互 关系 。 注 意 ， 图 中 的 路 径 可 以 交错 。 
例如 ， 假 冒 攻击 可 以 成 为 所 有 基本 威胁 的 基础 ， 同 时 假冒 攻击 本 身 也 存在 信息 泄漏 的 潜 
在 威胁 。 信 息 泄漏 可 能 暴露 某 个 口令 ， 而 用 此 口令 攻击 者 也 可 以 实施 假冒 攻击 。 表 1-1 
列 出 了 各 种 威胁 之 间 的 差异 ， 并 分 别 进行 了 描述 。 






































截获 /修改 资源 耗 尽 
业务 否认 完整 性 侵犯 


图 1-2 典型 的 威胁 及 其 相互 关系 


对 3000 种 以 上 的 计算 机 误 用 案例 所 做 的 一 次 抽样 调查 显示 , 最 主要 的 几 种 安全 威胁 
如 下 《按照 出 现 频率 由 高 至 低 排列 ): 

(1) 授权 侵犯 。 

(2) 假冒 攻击 。 

(3) 旁 路 控制 。 

(4) 特洛伊 木马 或 陷 门 。 

(5) 媒体 废弃 物 。 

在 Internet 中 ， 网 络 蠕虫 (Internet Worm) 就 是 将 旁 路 控制 与 假冒 攻击 结合 起 来 的 一 
种 威胁 。 旁 路 控制 就 是 利用 已 知 的 UNIX, Windows 和 Linux 等 操作 系统 的 安全 缺陷 ， 
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避 开 系统 的 访问 控制 措施 ， 进 入 到 系统 内 部 。 而 假冒 攻击 则 通过 破译 或 窃取 用 户口 令 ， 
冒充 合法 用 户 使 用 网 络 服务 和 资源 。 





表 1-1 典型 的 网 络 安全 威胁 











R ë W Hi 述 
授权 侵犯 一 个 被 授权 以 特定 目的 使 用 系统 的 人 ， 却 将 此 系统 用 于 其 他 非 授权 的 目的 
旁 路 控制 攻击 者 发 抉 系统 的 安全 缺陷 或 安全 脆弱 性 ， 以 绕 过 访问 控制 措施 
拒绝 服务 * 对 信息 或 其 他 资源 的 合法 访问 被 无 条 件 地 拒绝 
窃听 攻击 信息 从 被 监视 的 通信 过 程 中 泄漏 出 去 
电磁 /射频 截获 信息 从 电子 或 机 电 设备 所 发 出 的 无 线 频率 或 其 他 电磁 场 辐射 中 被 提取 出 来 
非法 使 用 资源 被 某 个 非 授权 的 人 或 以 非 授权 的 方式 使 用 
ARR, 一 个 被 授权 的 人 为 了 金钱 等 利益 或 由 于 粗心 ， 将 信息 泄漏 给 非 授权 的 人 
信息 泄漏 信息 被 泄漏 或 暴露 给 某 个 非 授权 的 人 
完整 性 侵犯 * 数据 的 一 致 性 由 于 非 授权 的 增删 、 修 改 或 破坏 而 受到 损害 
截获 /修改 * 某 一 通信 数据 在 传输 过 程 中 被 改变 、 删 除 或 替换 
假冒 攻击 * 一 个 实体 (人 或 系统 ) 假装 成 男 一 个 不 同 的 实体 
媒体 废弃 物 信息 从 被 废弃 的 磁带 或 打印 的 废 纸 中 泄漏 出 去 
物理 入 侵 入 侵 者 通过 绕 过 物理 控制 (如 防盗 门 》 而 获得 对 系统 的 访问 
消息 重 发 * 对 所 截获 的 某 次 合法 通信 数据 备份 ， 出 于 非法 的 目的 而 重新 发 送 该 数据 
业务 否认 参与 某 次 通信 交换 的 一 方 ， 事 后 错误 地 否认 曾经 发 生 过 此 次 信息 交换 
资源 耗 尽 某 一 资源 〈 如 访问 接口 ) 被 故意 地 超 负荷 使 用 ， 导 致 其 他 用 户 服务 中 断 
服务 欺骗 某 一 伪造 的 系统 或 部 件 欺骗 合法 的 用 户 或 系统 ， 自 愿 放 弃 敏感 的 信息 
窃取 某 一 安全 做 关 的 物品 被 盗 ， 例 如 令 牌 或 身份 卡 
流量 分 析 * 通过 对 通信 流量 的 模式 进行 观察 ， 机 密 信息 有 可 能 泄漏 给 非 授 权 的 实体 
陷 门 pio “特征 ”嵌入 某 个 系统 或 其 部 件 中 ， 当 输入 特定 数据 时 ， 允 许 违反 安全 
特洛伊 木马 一 个 不 易 察觉 或 无 害 程序 段 的 软件 ， 当 其 被 运行 时 ， 就 会 破坏 用 户 的 安全 性 


说 明 : 带 * 的 威胁 表示 在 计算 机 通信 安全 中 可 能 发 生 的 威胁 。 


123 ”安全 防护 措施 


在 安全 领域 中 ， 存 在 多 种 类 型 的 防护 措施 。 除 了 采用 密码 技术 的 防护 措施 外 ， 还 有 
其 他 类 型 的 安全 防护 措施 : 
(1) 物理 安全 。 包 括 门 锁 或 其 他 物理 访问 控制 措施 、 敏 感 设备 的 防 自 改 和 环境 控 


制 等 。 


(2) 人 员 安 全 。 包 括 对 工作 岗位 敏感 性 的 划分 、 雇 员 的 筛选 ， 同 时 也 包括 对 人 员 的 


安全 性 培训 ， 


以 增强 其 安全 意识 。 





(3) 管理 安全 。 包 括 对 进口 软件 和 硬件 设备 的 控制 ， 负 责 调查 安全 泄漏 事件 ， 对 犯 
罪 分 子 进行 审计 跟踪 ， 并 追查 安全 责任 。 
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(4) 媒体 安全 。 包 括 对 受 保护 的 信息 进行 存储 ， 控 制 敏感 信息 的 记录 、 再 生 和 销毁 ， 
确保 废弃 的 纸张 或 含有 敏感 信息 的 磁性 介质 被 安全 销毁 。 同 时 ， 对 所 用 媒体 进行 扫描 ， 
以 便 发 现 病毒 。 

(5) 辐射 安全 。 对 射频 CRE) 及 其 他 电磁 CEM) 辐射 进行 控制 (又 称 TEMPEST 
保护 )。 

(6) 生命 周期 控制 。 包 括 对 可 信 系 统 进行 系统 设计 、 工 程 实施 、 安 全 评估 及 提供 担 
保 ， 并 对 程序 的 设计 标准 和 日 志 记录 进行 控制 。 

一 个 安全 系统 的 强度 与 其 最 弱 链 路 的 强度 相同 。 为 了 提供 有 效 的 安全 性 ， 需 要 将 不 
同 种 类 的 威胁 对 抗 措施 联合 起 来 使 用 。 例 如 ， 当 用 户 将 口令 遗忘 在 某 个 不 安全 的 地 方 或 
受到 欺骗 而 将 口令 暴露 给 某 个 未 知 的 电话 用 户 时 ， 即 使 技术 上 是 完备 的 ， 用 于 对 付 假冒 
攻击 的 口令 系统 也 将 无 效 。 
防护 措施 可 用 来 对 付 大 多 数 安全 威胁 ， 但 是 采用 每 种 防护 措施 均 要 付出 代价 。 网 络 
用 户 需 要 认真 考虑 这 样 一 个 问题 : 为 了 防止 某 个 攻击 所 付出 的 代价 是 否 值得 。 例 如 ， 在 
商业 网 络 中 ， 一 般 不 考虑 对 付 电 磁 EM) 或 射频 CRE) 汇 漏 ， 因 为 它们 对 商用 环境 来 
说 风险 很 小 ， 而 且 其 防护 措施 又 十 分 昂贵 。 但 在 机 密 环境 中 ， 我 们 会 得 出 不 同 的 结论 。 
对 于 某 一 特定 的 网 络 环 境 , 究 竞 采用 什么 安全 防护 措施 , 这 种 决策 属于 风险 管理 的 范畴 。 
目前 ， 人 们 已 经 开发 出 各 种 定性 和 定量 的 风险 管理 工具 。 如 果 要 进一步 了 解 有 关 的 信息 ， 
请 参看 有 关 文 献 。 

在 本 书 中 ， 主 要 讨论 与 通信 网 络 有 关 的 安全 问题 。 网 络 安全 事实 上 可 以 更 广泛 地 定 
义 为 “通信 安全 ” 加 密 仅仅 是 通信 安全 的 一 个 方面 。 其 实 网 络 安全 涉及 了 非常 宽广 的 技 
术 领 域 ， 而 这 些 技术 的 广泛 应 用 直到 今天 才 成 为 可 能 。 考 虑 到 在 现实 中 存在 着 各 种 强 有 
力 的 密码 分 析 方法 ， 人 们 不 得 不 考虑 采用 复杂 防护 措施 需要 付出 的 各 种 代价 。 
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所 谓 安全 策略 ， 是 指 在 某 个 安全 域内 ， 施 加 给 所 有 与 安全 相关 活动 的 一 套 规则 。 所 
谓 安全 域 ， 通 常 是 指 属于 某 个 组 织 机 构 的 一 系列 处 理 进程 和 通信 资源 。 这 些 规则 由 该 安 
全 域 中 所 设立 的 安全 权威 机 构 制 定 ， 并 由 安全 控制 机 构 来 描述 、 实 施 或 实现 。 

安全 策略 是 一 个 很 宽泛 的 概念 ， 这 一 术语 以 许多 不 同 的 方式 用 于 各 种 文献 和 标准 。 
一 些 有 关 的 分 析 表 明 ， 安 全 策略 有 几 个 不 同 的 等 级 。 

(1) 安全 策略 目标 : 是 一 个 机 构 对 于 所 保护 的 资源 要 达到 的 安全 目标 而 进行 的 描述 。 

(2) 机 构 安 全 策略 : 是 一 套 法 律 、 规 则 及 实际 操作 方法 ， 用 于 规范 一 个 机 构 如 何 管 
理 、 保 护 和 分 配 资源 ， 以 便 达 到 安全 策略 所 规定 的 安全 目标 。 

G) 系统 安全 策略 : 描述 如 何 将 一 个 特定 的 信息 系统 付 诸 工程 实现 ， 以 支持 此 机 构 
的 安全 策略 要 求 。 

在 本 书 中 ， 术 语 “ 安 全 策略 ”通常 是 指 系统 级 的 安全 策略 。 但 是 ， 读 者 必须 牢记 ， 
它 仅仅 是 广义 安全 策略 概念 的 一 个 组 成 部 分 。 




















me 网络 安全 一 一 技术 与 实践 (第 3 版 ) mm 
下 面 对 影响 网 络 系统 及 各 组 成 部 分 所 涉及 的 安全 策略 的 某 些 主 要 方面 进行 讨论 。 


1.3.1 授权 


授权 (Authorization) 是 安全 策略 的 一 个 基本 组 成 部 分 。 所谓 授 权 ， 是 指 主体 (用户 、 
终端 、 程 序 等 ) 对 客体 (数据 、 程 序 等 ) 的 支配 权利 ， 它 等 于 规定 了 谁 可 以 对 什么 做 些 
什么 (Who may do what to what)。 在 机 构 安全 策略 等 级 上 ， 一 些 描 述 授 权 的 例子 如 下 : 

(1) 文件 Project-X-Status 只 能 由 G.Smith 修改 ， 并 由 G.Smith，P.Jones 及 Project-X 
计划 小 组 中 的 成 员 阅 读 。 

(2) 一 个 人 事 记录 只 能 由 人 事 部 门 的 职员 进行 添加 和 修改 ， 并 且 只 能 由 人 事 部 门 的 
职员 、 部 门 经 理 及 该 记录 所 属 的 那个 人 阅读 。 

(3) 假设 在 多 级 安全 系统 中 ， 有 一 密级 被 定义 为 “Confidential-secret-top”。 只 有 所 
持 许可 证 级 别 等 于 或 高 于 此 密级 的 人 员 才 有 权 访 问 此 密级 的 信息 。 

这 些 安全 策略 的 描述 也 对 各 类 防护 措施 提出 了 要 求 。 例 如 ， 采 用 人 员 安 全 措施 来 决 
定 人 员 的 许可 证 级 别 。 在 计算 机 和 通信 系统 中 ， 主 要 安全 需求 可 以 由 一 种 称 为 “访问 控 
制 策略 ”的 系统 安全 策略 反映 出 来 。 


1.3.2 ”访问 控制 策略 


访问 控制 策略 隶属 于 系统 级 安全 策略 ， 它 迫使 计算 机 系统 和 网 络 自动 地 执行 授权 。 
以 上 有 关 授权 描述 的 示例 (1)、(2) 和 G) 分 别 对 应 于 以 下 不 同 的 访问 控制 策略 ， 

(1) 基于 身份 的 策略 。 该 策略 允许 或 拒绝 对 明确 区 分 的 个 体 或 群体 进行 访问 。 

(2) 基于 任务 的 策略 。 它 是 基于 身份 的 策略 的 一 种 变形 ， 它 给 每 一 个 个 体 分 配 任务 ， 
并 基于 这 些 任务 来 使 用 授权 规则 。 

(3) 多 等 级 策略 。 它 是 基于 信息 敏感 性 的 等 级 及 工作 人 员 许 可 等 级 而 制定 的 一 般 规 
则 的 策略 。 

访问 控制 策略 有 时 也 被 划分 为 强制 性 访问 控制 策略 (Mandatory Access Control 
Policies) 和 自主 性 访问 控制 策略 (Discretionary Access Control Policies) 两 类 。 强 制 性 
访问 控制 策略 由 安全 域 中 的 权威 机 构 强制 实施 ， 任 何人 都 不 能 回避 。 强 制 性 安全 策略 
在 军事 和 其 他 政府 机 密 环境 中 最 为 常用 ， 上 面 提 到 的 策略 (3) 就 是 一 个 例子 。 自 主 性 
访问 控制 策略 为 一 些 特定 的 用 户 提供 了 访问 资源 〈 如 信息 ) 的 权限 ， 此 后 可 以 利用 此 
权限 控制 这 些 用 户 对 资源 的 进一步 访问 。 上 述 策略 G) 和 策略 〈2) 就 是 两 个 自主 性 
访问 控制 策略 的 例子 。 在 机 密 环境 中 ， 自 主 性 访问 控制 策略 用 于 强化 “须知 ”(Need to 
know ) 的 最 小 权益 策略 (Least Privilege Policy ) 或 最 小 泄漏 策略 (Least Exposure Policy ). 
前 者 只 授予 主体 为 执行 任务 所 必需 的 信息 或 处 理 能 力 ， 而 后 者 则 按照 规则 向 主体 提 
供 机 密 信息 ， 并 且 主 体 承担 保护 信息 的 责任 。 访 问 控制 策略 将 在 后 面 的 章节 中 详细 
讨论 。 
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ES 
是 “责任 ”。 在 执行 任务 时 ， 受 到 安全 


策略 约束 的 任何 个 体 需要 对 其 行为 负责 。 它 与 人 员 安全 之 间 建 立 了 非常 重要 的 联系 。 某 
些 网 络 安全 防护 措施 ， 如 对 工作 人 员 身 份 及 采用 这 些 身份 从 事 相 关 的 活动 进行 认证 ， 都 


1.3.3 ”责任 
所 有 安全 策略 都 有 一 个 潜在 的 基本 原则 ， 那 就 


1.4 





直接 支持 这 一 原则 。 
安全 攻击 的 分 类 
X.800 Fil RFC 2828 对 安全 攻击 进行 了 分 类 。 它们 把 攻击 分 成 两 类 : 被 动 攻击 和 主动 
攻击 。 被 动 攻击 试图 获得 或 利用 系统 的 信息 ， 但 不 会 对 系统 的 资源 造成 破坏 。 而 主动 攻 


被 动 攻击 


击 则 不 同 ， 它 试图 破坏 系统 的 资源 ， 影 响 系统 的 正常 工作 。 
1.4.1 
传输 的 信息 。 信 息 泄漏 和 流量 分 析 就 是 两 种 被 动 攻击 的 例子 。 





被 动 攻 击 的 特性 是 对 所 传输 的 信息 进行 窃听 和 监测 。 攻 击 者 的 目标 是 获得 线路 上 所 
第 一 种 被 动 攻 击 是 窃听 攻击 ， 如 图 1-3 a) 所 示 。 电 话 、 电 子 邮件 和 传输 的 文件 中 
攻击 者 通过 窃听 ， 可 以 截获 这 些 敏 感 或 秘密 信息 。 我 们 要 


Alice 


z 
z 
= 
巴 
$ 
> 
5 
Š 
= 
A 


都 可 能 含有 敏感 或 秘密 信息 
做 的 工作 就 是 阻止 攻击 者 获得 这 些 信息 。 


(a) 窃听 攻击 
Darth 
观察 从 Bob 到 Alice 的 消息 模式 
Ge 
Alice 


Internet 或 其 他 通信 设施 


(b) 流量 分 析 
图 1-3 被 动 攻击 
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第 二 种 被 动 攻击 是 流量 分 析 ， 如 图 1-3 (b) 所 示 。 假 设 已 经 采取 了 某 种 措施 来 隐藏 
消息 内 容 或 其 他 信息 的 流量 ， 使 攻击 者 即使 捕获 了 消息 也 不 能 从 中 发 现 有 价值 的 信息 。 
加 密 是 隐藏 消息 的 常用 方法 。 即 使 对 信息 进行 了 合理 的 加 密 保 护 ， 攻 击 者 仍然 可 以 通过 
流量 分 析 获 得 这 些 消息 的 模式 。 攻 击 者 可 以 确定 通信 主机 的 身份 及 其 所 处 的 位 置 ， 可 以 
观察 传输 消息 的 频率 和 长 度 ， 然 后 根据 所 获得 的 这 些 信息 推 断 本 次 通信 的 性 质 。 

被 动 攻击 由 于 不 涉及 对 数据 的 更 改 ， 所 以 很 难 被 察觉 。 通 过 采用 加 密 措 施 ， 完 全 有 
可 能 阻止 这 种 攻击 。 因 此 ， 处 理 被 动 攻击 的 重点 是 预防 ， 而 不 是 检测 。 

14.2 ”主动 攻击 
主动 攻击 是 指 恶意 算 改 数据 流 或 伪造 数据 流 等 攻击 行为 ， 它 分 成 4 类 ; 

© 伪装 攻击 (Impersonation Attack); 

© 重 放 攻 击 (Replay Attack); 

© 消息 算 改 (Message Modification); 

@ 拒绝 服务 (Denial of Service) 攻击 。 

伪装 攻击 是 指 某 个 实体 假装 成 其 他 实体 ， 对 目标 发 起 攻击 ， 如 图 1-4 (a) WR. W 
装 攻击 的 例子 有 : 攻击 者 捕获 认证 信息 ， 然 后 将 其 重 发 ， 这 样 攻击 者 就 有 可 能 获得 其 他 
实体 所 拥有 的 访问 权限 。 

重 放 攻 击 是 指 攻 击 者 为 了 达到 某 种 目的 ， 将 获得 的 信息 再 次 发 送 ， 以 在 非 授权 的 情 
况 下 进行 传输 ， 如 图 1-4 (b) 所 示 。 

















Darth 来 自 Darth 的 消息 ,但 
看 上 去 好 像 来 自 Bob 





Alice 
(a) 伪装 攻击 


截获 从 Bob 到 Alice 的 消 
Danh 作息， 以 后 再 重 放 给 Alice 








(b) 重 放 攻击 
1-4 主动 攻击 
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Darth Darth 修 改 从 Bob 到 
Alice 的 消息 









8 ) W 
Bob Alice 






Internet 或 其 他 通信 设施 一 





5 
Bob Server 


(d) 拒绝 服务 攻击 
图 1-4 ( 续 ) 


消息 自 改 是 指 攻击 者 对 所 获得 的 合法 消息 中 的 一 部 分 进行 修改 或 延迟 消息 的 传输 ， 
以 达到 其 非 授权 的 目的 ， 如 图 1-4〈c) 所 示 。 例 如 ， 攻 击 者 将 消息 “Allow John Smith to 
read confidential accounts” 修 改 为 “Allow Fred Brown to read confidential file accounts”. 
拒绝 服务 攻击 则 是 指 阻止 或 禁止 人 们 正常 使 用 网 络 服务 或 管理 通信 设备 , 如 图 1-4 Cd) 
所 示 。 这 种 攻击 可 能 目标 非常 明确 。 例 如 ， 某 个 实体 可 能 会 禁止 所 有 发 往 某 个 目的 地 的 


消息 。 拒 绝 
Ema 


DAT Bi 








BF 的 另 一 种 形式 是 破坏 某 个 网 络 ， 使 其 瘫痪 ， 或 者 使 其 过 载 以 降低 性 能 。 
fi 与 被 动 攻 击 相反 。 被 动 攻 击 虽然 难以 检测 ， 但 采取 某 些 安全 防护 措施 就 可 


Hak; 主动 攻击 虽然 易于 检测 ， 但 却 难以 阻止 。 所 以 对 付 主动 攻击 的 重点 应 当 放 
在 如 何 检测 并 发 现 它 们 上 ， 并 采取 相应 的 应 急 响 应 措施 ， 使 系统 从 故障 状态 恢复 到 正常 





运行 。 

















主动 攻击 


Ifo 


— 1.5 


于 检测 主动 攻击 对 于 攻击 者 来 说 能 起 到 威慑 作用 ， 所 以 在 某 种 程度 上 可 以 阻止 


网 络 攻 击 的 常见 形式 


在 前 面 已 经 讨论 了 网 络 中 存在 的 各 种 威胁 ， 这 些 威胁 的 直接 表现 形式 就 是 黑客 常 采 
取 的 各 种 网 络 攻击 方式 。 下 面 将 对 常见 的 网 络 攻击 进行 分 类 。 通 过 分 类 ， 可 以 针对 不 同 
的 攻击 类 型 采取 相应 的 安全 防护 措施 。 
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15.1 口令 窃取 


进入 一 台 计 算 机 最 容易 的 方法 就 是 采用 口令 登录 。 只 要 在 许可 的 登录 次 数 范围 内 输 
入 正确 的 口令 ， 就 可 以 成 功 地 登录 系统 。 

虽然 利用 系统 缺陷 破坏 网 络 系统 是 可 行 的 ， 但 这 不 是 最 容易 的 办 法 。 最 容易 的 办 法 是 
通过 窃取 用 户 的 口令 进入 系统 。 事 实 上 ， 很 大 比例 的 系统 入 侵 是 由 口令 系统 失效 造成 的 。 

口令 系统 失效 的 原因 有 多 种 ， 但 最 常见 的 原因 是 人 们 倾向 于 选择 很 糟糕 的 口令 作为 
登录 密码 。 反 复 研究 的 结果 表明 : 口令 猜测 很 容易 成 功 。 我 们 并 不 是 说 所 有 人 都 采用 了 
很 差 的 口令 ， 但 对 于 黑客 来 说 ， 只 要 给 他 一 次 机 会 就 可 以 得 手 。 

口令 猜测 攻击 有 3 种 基本 方式 。 第 一 种 方式 是 利用 已 知 或 假定 的 口令 尝试 登录 。 虽 
然 这 种 登录 尝试 需要 反复 进行 十 儿 次 甚至 更 多 ， 但 往往 会 取得 成 功 。 一 旦 攻击 者 成 功 登 
录 ， 网 络 的 主要 防线 就 会 崩溃 。 很 少 有 操作 系统 能 够 抵御 从 内 部 发 起 的 攻击 。 

攻击 者 获得 密码 的 第 二 种 方式 是 根据 窃取 的 口令 文件 进行 猜测 (如 UNIX 系统 中 的 
/etc/passwd 文件 )。 这 些 口令 文件 有 的 是 从 已 经 被 攻破 的 系统 中 窃取 的 ， 有 的 是 从 未 被 攻 
破 的 系统 中 获得 的 。 由 于 用 户 习 惯 重 复 使 用 同一 口令 ， 当 黑客 得 到 这 些 文件 后 ， 就 会 党 
试用 其 登录 其 他 机 器 。 这 种 攻击 称 为 “字典 攻击 ” 通常 十 分 奏效 。 

第 三 种 方法 是 窃听 某 次 合法 终端 之 间 的 会 话 , 并 记录 所 使 用 的 口令 。 采用 这 种 方式 ， 
不 管用 户 的 口令 设计 得 有 多 好 ， 其 系统 都 会 遭 到 破坏 。 

通过 以 上 讨论 可 以 得 出 结论 : 在 选择 好 的 口令 方面 ， 加 强 对 用 户 的 培训 是 非常 重要 
的 。 大 多 数 人 习惯 选择 简单 的 口令 。 虽然 人 们 也 试图 选用 难以 猜测 的 密码 , 但 收效 不 大 。 
据 统计 ， 攻 击 者 如 果 掌 握 一 本 小 字典 ， 他 就 有 20% 的 机 会 进入 系统 。 况 且 现在 可 以 获得 
的 字典 很 多 ， 大 的 可 以 达到 几 十 兆 字 节 。 字 典 里 几乎 包括 所 有 单词 和 短语 ， 还 有 各 种 个 
人 信息 ， 如 电话 号 码 、 地 址 、 生 日 、 作 家 名 字 等 。 

如 果 无 法 阻止 选择 低级 的 口令 ， 那 么 对 口令 文件 进行 严格 保护 就 变 得 非常 关键 。 要 
做 到 这 点 ， 就 必须 进行 以 下 操作 : 

(1) 对 某 些 服务 的 安全 属性 进行 认真 配置 ， 如 SUN 操作 系统 中 的 NIS 服务 。 

(2) 对 可 以 使 用 tftpd 协议 获得 的 文件 加 以 限制 。 

(3) 避免 将 真正 的 /etc/passwd 文件 放 在 匿名 FTP 区 。 

HEHE UNIX 系统 提供 了 对 合法 用 户 的 口令 进行 杂凑 计算 并 将 该 杂凑 值 进行 隐藏 的 功 
能 。 杂 凑 后 的 口令 文件 称 为 “影子 ”或 “附属 ”口令 文件 。 我 们 强烈 建议 充分 利用 系统 
的 这 一 功能 。 除了 UNIX 系统 之 外 , 还 有 很 多 系统 也 具备 对 口令 进行 杂 凌 和 隐藏 的 功能 。 

要 彻底 解决 使 用 口令 的 弊端 ， 就 要 完全 放弃 使 用 口令 机 制 ， 转 而 使 用 基于 令 牌 
(Token-based) 的 机 制 。 如 果 和 暂时 还 不 能 做 到 ， 起 码 要 使 用 一 次 性 口令 方案 ， 如 OTP 


(One-Time Password). 


1.5.2 ”欺骗 攻击 
黑客 的 另外 一 种 攻击 方式 是 采用 欺骗 的 方式 获取 登录 权限 。 泄 密 通常 发 生 在 打 电 话 
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和 聊天 的 过 程 中 。 请 看 Thompson 与 网 络 管理 员 的 一 段 谈话 : 

This is Thompson. Someone called me about a problem with the /s command. He'd like 
me to fix it. 

Oh, OK. What should I do? 

Just change the password on my login on your machine; it's been a while since I've used 


No problem. 

从 上 面 的 谈话 可 以 看 出 , Thompson 欺骗 网 络 管理 员 改 变 口令 , 使 他 能 够 成 功 登 录 到 
其 计算 机 上 。 还 有 其 他 欺骗 方式 ， 如 利用 邮件 欺骗 。 请 看 攻击 者 发 出 的 这 封 邮 件 : 

From: smb@research.att.com 

TO: admin@research.att.com 

Subject: Visitor 

We have a visitor coming next week. Could you ask for your SA to add a Login 





for her? Here's her passwd line; use the same hashed password. 

Pxf: SbHD/k5k2mtTTs:2403:147:Pat:/home/pat:/bin/sh 

注意 ， 这 封 邮件 明显 带 有 欺骗 行为 。 如 果 Pat 是 一 个 来 访 者 ， 她 不 会 将 家 里 的 机 器 
口令 拿 到 外 面 使 用 。 因 此 ， 在 没有 搞 清 对 方 的 真正 意图 之 前 ， 就 不 能 随意 采取 行动 。 当 
你 收 到 一 个 朋友 的 电子 邮件 ， 警 告 你 “sulfnbk.exe 是 一 个 病毒 文件 ， 必 须 删除 。 请 转告 
你 的 朋友 ”时 ， 这 种 电子 邮件 很 可 能 就 是 一 个 骗局 。 如 果 你 照 此 去 做 ， 你 的 系统 就 会 中 
毒 并 遭 到 破坏 。 不 幸 的 是 ， 很 多 人 都 会 上 当 ， 因 为 这 个 邮件 毕 况 是 自己 的 朋友 发 送 
来 的 。 


1.5.3 ”缺陷 和 后 门 攻击 


网 络 蠕虫 传播 的 方式 之 一 是 通过 向 finger 守护 程序 (Daemon ) 发 送 新 的 代码 实现 的 。 
显然 ， 该 守护 程序 并 不 希望 收 到 这 些 代 码 ， 但 在 协议 中 没有 限制 接收 这 些 代码 的 机 制 。 
守护 程序 的 确 可 以 发 出 一 个 gets 呼叫 ， 但 并 没有 指定 最 大 的 缓冲 区 长 度 。 里 虫 疝 “ 读 ” 
缓冲 区 内 注入 大 量 的 数据 ， 直 到 将 gets 堆栈 中 的 返回 地 址 覆盖 。 当 守护 程序 中 的 子 程序 
返回 时 ， 就 会 转 而 执行 入 侵 者 写 入 的 代码 。 

缓冲 器 溢出 攻击 也 称 为 “堆栈 粉碎 ”(Stack Smashing) 攻击 。 这 是 攻击 者 常 采用 的 
一 种 扰乱 程序 的 攻击 方法 。 长 期 以 来 ， 人 们 试图 通过 改进 设计 来 消除 缓冲 器 溢出 缺陷 。 
有 些 计 算 机 语言 在 设计 时 就 尽 可 能 不 让 攻击 者 做 到 这 点 。 一 些 硬件 系统 也 尽量 不 在 堆栈 
上 执行 代码 。 此 外 ， 一 些 C 编译 器 和 库 函 数 也 使 用 了 许多 对 付 缓冲 器 溢出 攻击 的 方法 。 

所 谓 缺 陷 〈Flaws)， 就 是 指 程序 中 的 某 些 代 码 并 不 能 满足 特定 的 要 求 。 尽 管 一 些 程 
序 缺陷 已 经 由 厂家 逐步 解决 ， 但 是 一 些 常见 问题 依然 存在 。 最 佳 解决 办 法 就 是 在 编写 软 
件 时 ， 力 求 做 到 准确 、 无 误 。 然 而 ， 软 件 上 的 缺陷 有 时 是 很 难 避免 的 ， 这 正 是 今天 的 软 
件 中 存在 那么 多 缺陷 的 原因 。 

Morris 蠕虫 及 其 许多 现代 变种 给 我 们 的 教训 极为 深刻 ， 其 中 最 重要 的 一 点 是 : 缺陷 
导致 的 后 果 并 不 局 限于 产生 不 良 的 效果 或 造成 某 一 特定 服务 的 混乱 ， 更 可 怕 的 是 因为 某 
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一 部 分 代码 的 错误 而 导致 整个 系统 的 瘫 病 。 当 然 ， 没 有 人 有 意 要 编写 带 有 缺陷 的 代码 。 
只 要 采取 相应 的 步骤 ， 可 以 降低 其 发 生 的 可 能 性 。 

第 一 ， 在 编写 网 络 服务 器 软件 时 ， 要 充分 考虑 如 何 防止 黑客 的 攻击 行为 。 要 检验 所 
有 输入 数据 的 正确 性 。 如 果 程 序 中 使 用 了 固定 长 度 的 缓冲 器 ， 要 确保 这 些 缓冲 器 不 会 产 
生 溢出 。 如 果 使 用 了 动态 分 配 存储 区 的 方法 ， 要 考虑 内 存 或 文件 系统 的 占用 情况 ， 同 时 
还 要 考虑 到 在 系统 恢复 时 也 要 占用 内 存 和 磁盘 空间 。 

第 二 ， 必 须 对 输入 语法 做 出 正确 的 定义 。 如 果 不 能 真正 理解 “正确 ”这 两 个 字 的 含 
义 ， 就 不 能 做 出 正确 性 检查 。 如 果 不 知道 什么 是 合法 的 ， 就 无 法 写 出 输入 语法 。 有 时 ， 
对 于 语法 正确 性 的 检查 需要 借助 于 某 些 编译 工具 。 

第 三 ， 必 须 遵守 “最 小 特权 ”原则 。 不 要 给 网 络 守护 程序 授予 任何 超出 其 需要 的 权 
限 。 特 别 是 在 设置 防火 墙 的 访问 控制 规则 时 ， 轻 易 不 要 授予 用 户 超级 用 户 权 限 。 例 如 ， 
我 们 会 给 本 地 邮件 转发 系统 的 某 些 模块 授予 一 定 的 特权 ， 使 其 能 将 用 户 发 送 的 信息 复制 
到 另外 一 个 用 户 的 邮箱 里 。 而 对 于 网 关上 的 邮件 服务 器 ， 通 常 不 设置 任何 特权 ， 它 所 做 
的 事情 仅 局 限于 将 邮件 从 一 个 网 络 端口 复制 到 另 一 个 网 络 端口 。 

如 果 进 行 恰当 的 设计 ， 即 使 是 那些 好 像 需要 授权 的 服务 器 ， 也 不 再 需要 授权 。 例 如 ， 
UNIX 的 FTP 服务 器 ， 人 允许 用 户 使 用 root 权限 登录 ， 并 能 够 绑 定 到 20 端口 的 数据 通道 
上 。 对 于 20 端口 绑 定 是 协议 的 要 求 , 但 可 以 采用 一 个 更 小 的 、 更 简单 的 和 更 明确 的 授权 
程序 来 做 这 件 事 。 同 样 ， 登 录 问 题 也 可 以 由 一 个 前 端 软件 来 解决 。 该 前 端 软件 仅 处 理 
USER 和 PASS 命令 ， 放 弃 授 权 要 求 ， 并 执行 无 特权 程序 。 

最 后 需要 指出 : 不 要 为 了 追求 效率 而 牺牲 对 程序 正确 性 的 检查 。 如 果 仅 仅 为 了 节约 
几 纳 秒 的 执行 时 间 而 将 程序 设计 得 既 复 杂 又 别出心裁 , 并 且 又 需要 特权 , 那么 你 就 错 了 。 
现在 的 计算 机 硬件 速度 越 来 越 高 ， 节 约 的 这 点 时 间 毫 无 价值 。 一 旦 出 现 安全 问题 ， 在 清 
除 入 侵 上 所 花费 的 时 间 和 付出 的 代价 将 是 非常 巨大 的 。 

1.5.4 ”认证 失效 

许多 攻击 的 成 功 都 可 归结 于 认证 机 制 的 失效 。 即 使 一 个 安全 机 制 再 好 ， 也 存在 遭受 
攻击 的 可 能 性 。 例 如 ， 一 个 源 地 址 有 效 性 的 验证 机 制 ， 在 某 些 应 用 场合 (如 有 防火 墙 地 
址 过 滤 时 ) 能 够 发 挥 作用 ,但 是 黑客 可 以 使 用 rpcbind 重 发 某 些 请 求 。 在 这 种 情况 下 ， 最 
终 的 服务 器 就 会 被 欺骗 。 对 于 这 些 服务 器 来 说 ， 这 些 消 息 看 起 来 好 像 源 于 本 地 ， 但 实际 
上 来 自 其 他 地 方 。 

如 果 源 机 器 是 不 可 信和 的 ， 基 于 地 址 的 认证 也 会 失效 。 虽然 人 们 可 以 采用 口令 机 制 来 
控制 自己 的 计算 机 ， 但 是 口令 失窃 也 是 常见 的 事情 。 

某 些 认证 机 制 失效 是 因为 协议 没有 携带 正确 的 信息 。TCP 和 IP 都 不 能 识别 发 送 用 
户 。X11 和 rsh 协议 要 么 靠 自己 去 获得 这 些 信息 ， 要 么 就 没有 这 些 信息 。 如 果 它 们 能 
得 到 信息 ， 也 必须 以 安全 的 方式 通过 网 络 传送 这 些 信息 。 

即使 对 源 主 机 或 用 户 采用 密码 认证 的 方式 ， 往 往 也 不 能 奏效 。 如 前 所 述 ， 一 个 被 破 
坏 的 主机 不 会 进行 安全 加 密 。 

窃听 者 可 以 很 容易 地 从 未 加 密 的 会 话 中 获得 明文 的 口令 ， 有 时 也 可 能 对 某 些 一 次 口 
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令 方 案 发 起 攻击 。 对 于 一 个 好 的 认证 方案 来 说 ， 下 次 登录 必须 具有 唯一 的 有 效 口令 。 有 
时 攻击 者 会 将 自己 置 于 客户 机 和 服务 器 中 间 , 它 仅 仅 转发 服务 器 对 客户 机 发 出 的 “挑战 ” 
(challenge， 实 际 上 为 一 随机 数 )， 并 从 客户 机 获得 一 个 正确 的 “响应 ”。 此 时 ， 攻 击 者 可 
以 采用 此 “响应 ”信息 登录 到 服务 器 上 。 有 关 此 类 攻击 可 参见 相关 文献 。 

通过 修改 认证 方案 消除 其 缺陷 ， 完 全 可 以 挫败 这 种 类 型 的 攻击 。 基 于 “挑战 /响应 ” 
(Challenge/Response) 的 认证 机 制 完全 可 以 通过 精心 设计 的 安全 密码 协议 来 消除 这 种 攻 
击 的 威胁 。 


1.5.5 ”协议 缺陷 


前 面 讨论 的 是 在 系统 完全 正常 工作 的 情况 下 发 生 的 攻击 。 但 是 ， 有 些 认证 协议 本 身 
就 有 安全 缺陷 ， 这 些 缺 陷 的 存在 会 直接 导致 攻击 的 发 生 。 

例如 ,攻击 者 可 对 TCP 发 起 序列 号 攻击 。 由 于 在 建立 连接 时 所 生成 的 初始 序列 号 的 
随机 性 不 够 ， 攻 击 者 很 可 能 发 起 源 地 址 欺骗 攻击 。 为 了 做 到 公平 ，TCP 的 序列 号 在 设计 
时 并 没有 考虑 抵御 恶意 的 攻击 。 其 他 基于 序列 号 认证 的 协议 也 可 能 遭受 同样 的 攻击 。 这 
样 的 协议 有 很 多 ， 如 DNS 和 许多 基于 RPC 的 协议 。 

在 密码 学 上 ， 如 何 发 现 协议 中 存在 的 安全 漏洞 是 非常 重要 的 研究 课题 。 有 时 错误 是 
由 协议 的 设计 者 无 意 造成 的 ， 但 更 多 的 安全 漏洞 是 由 不 同 的 安全 假设 所 引发 的 。 对 密码 
协议 的 安全 性 进行 证 明 非 常 困 难 ， 人 们 正在 加 强 这 方面 的 研究 工作 。 现 在 ， 各 种 学 术 刊 
物 、 安 全 公司 网 站 和 操作 系统 开发 商 经 常 公布 一 些 新 发 现 的 安全 漏洞 ， 我 们 必须 对 此 加 
以 重视 。 

安全 协议 取决 于 安全 的 基础 。 例 如 ， 安 全 过 协议 (Secure Shell, SSH) 是 一 个 安全 
的 远程 存 取 协 议 。SSH 协议 具有 这 样 一 个 特点 : 用 户 可 以 指定 一 个 可 信 的 公 钥 ， 并 将 其 
存储 于 authorized keys 文件 中 。 如 果 客 户 机 知道 相应 的 私 钥 ， 该 用 户 不 用 输入 口令 就 能 
登录 。 在 UNIX 系统 中 ， 该 文件 通常 位 于 用 户主 目录 下 的 .ssh 目录 中 。 现 在 来 考虑 这 样 
一 种 情况 : 有 人 使 用 SSH 登录 到 某 个 加 载 了 NFS 主 目录 的 主机 上 。 在 这 种 情况 下 ， 攻 
击 者 就 可 以 欺骗 NFS 将 一 个 伪造 的 authorized keys 文件 注入 其 主 目录 中 。 

802.11 无 线 数据 通信 标准 中 的 WEP 在 设计 上 也 存在 缺陷 。 目 前 ， 针 对 WEP 的 攻击 
软件 在 网 络 上 随处 可 见 。 这 一 切 说 明 ， 真 正 的 安全 是 很 难 做 到 的 。 工 程 师 在 设计 密码 协 
议 时 ， 应 当 多 向 密码 学 家 咨询 ， 而 不 是 随意 设计 。 信 息 安全 对 人 的 技术 素质 要 求 非常 高 ， 
没有 进行 专业 学 习 和 受过 专门 培训 的 人 员 很 难 胜任 此 项 工作 。 


1.5.6 ”信息 泄漏 


许多 协议 都 会 丢失 一 些 信息 , 这 就 给 那些 想 要 使 用 该 服务 的 攻击 者 提供 了 可 乘 之 机 。 
这 些 信 息 可 能 成 为 商业 间谍 窃取 的 目标 ， 攻 击 者 也 可 借助 这 些 信息 攻破 系统 。Finger 协 
议 就 是 这 样 一 个 例子 。 这 些 信 息 除了 可 以 用 于 口令 猜测 之 外 , 还 可 以 用 来 进行 欺骗 攻击 。 

有 时 ， 电 话 号 码 和 办 公 室 的 房间 号 也 可 能 很 有 用 ， 可 以 根据 电话 号 码 本 推理 出 该 组 
织 的 结构 。 
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在 某 些 公司 的 网 站 上 ， 往 往 提 供 了 在 线 的 电话 号 码 查询 。 其 实 ， 公 司 的 这 些 电 话 号 
码 信息 也 应 该 是 保密 的 。 因 为 ， 当 猎头 们 需要 某 些 具有 专业 技能 的 人 员 时 ， 他 们 可 以 根 
据 这 些 信息 打 电 话 找到 他 们 想 要 的 专业 人 才 。 

另 一 个 丰富 的 数据 来 源 是 DNS。 在 这 里 ,黑客 可 以 获得 从 公司 的 组 织 结构 到 目标 用 
户 的 非常 有 价值 的 数据 。 要 控制 数据 的 流出 是 非常 困难 的 ， 唯 一 的 办 法 是 对 外 部 可 见 的 
DNS 加 以 限制 ， 使 其 仅 提 供 网 关机 器 的 地 址 列表 。 

精明 的 黑客 当然 深 说 其 理 ， 他 根本 不 需要 你 说 出 有 哪些 机 器 存在 。 他 只 需 进 行 端口 
号 和 地 址 空间 扫描 ,就 可 寻找 感 兴趣 的 服务 和 隐藏 的 主机 。 这 里 , 对 DNS 进行 保护 的 最 
佳 防护 措施 是 使 用 防火 墙 。 如 果 黑 客 不 能 向 某 一 主机 发 送 数据 包 ， 他 也 就 不 能 侵入 该 主 
机 并 获取 有 价值 的 信息 。 


1.5.7 ”指数 攻击 一 一 病毒 和 蠕虫 


指数 攻击 能 够 使 用 程序 快速 复制 并 传播 攻击 。 当 程序 自行 传播 时 ， 这 些 程序 称 为 里 
虫 (Worms); 当 它 们 依附 于 其 他 程序 传播 时 ， 这 些 程序 就 叫做 病毒 。 它 们 传播 的 数学 模 
型 是 相似 的 ， 因 而 两 者 之 间 的 区 别 并 不 重要 。 这 些 程序 的 流行 传播 与 生物 感染 病毒 非常 
相似 。 

这 些 程序 利用 在 很 多 系统 或 用 户 中 普遍 存在 的 缺陷 和 不 良 行为 获得 成 功 。 它 们 可 以 
在 儿 个 小 时 或 几 分 钟 之 内 扩散 到 全 世界 ， 从 而 使 许多 机 构 蒙受 巨大 损失 。Melissa 蠕虫 能 
够 阻塞 基于 微软 软件 的 电子 邮件 系统 达 5 天 之 久 。 各 种 各 样 的 蠕虫 给 Internet 造成 巨大 
的 负担 。 这 些 程序 本 身 更 倾向 于 攻击 随机 的 目标 ， 而 不 是 针对 特定 的 个 人 或 机 构 。 但 是 ， 
它们 所 携带 的 某 些 代码 却 可 能 对 那些 著名 的 政治 目标 或 商业 目标 发 起 攻击 。 

有 许多 方法 可 以 减少 感染 病毒 的 概率 。 最 基本 的 方法 是 不 使 用 流行 的 软件 。 如 果 采 
用 自行 编写 的 操作 系统 或 应 用 程序 ， 就 不 太 可 能 受到 感染 。 目 前 ， 针 对 微软 的 视窗 操作 
系统 的 病毒 有 很 多 ， 但 Macintosh 和 UNIX 用 户 却 很 少 受到 病毒 感染 。 现 在 这 种 情况 正 
在 发 生变 化 ， 尤 其 是 针对 Linux 的 攻击 越 来 越 多 。 我 们 已 发 现 Linux 蠕虫 和 一 些 交 叉 平 
台 的 蠕虫 能 够 通过 几 种 平台 进行 传播 ， 或 者 通过 直接 网 络 访问 、 网 页 浏览 和 电子 邮件 进 
行 传播 。 

如 果 不 与 受 感染 的 主机 通信 ， 就 不 会 感染 病毒 。 通 过 对 网 络 访问 和 从 外 部 获得 的 文 
件 进行 严格 的 控制 ， 就 会 大 大 地 降低 遭受 感染 的 风险 。 需 要 引起 注意 的 是 ， 有 些 病 毒 是 
经 人 工 传播 的 。 有 人 会 将 消息 转发 给 他 的 所 有 朋友 ， 并 指示 他 们 将 此 信息 再 转发 给 他 们 
的 所 有 朋友 ， 以 此 类 推 。 那 些 缺 乏 计 算 机 知识 的 用 户 就 会 照 此 去 做 。 这 样 ， 接 收 到 这 一 
消息 的 用 户 就 会 受到 感染 。 在 某 些 情况 下 ， 这 些 消 息 往 往 指示 你 删除 某 个 关键 的 文件 。 
如 果真 的 照 此 去 做 ， 你 的 计算 机 就 会 受到 损害 。 

对 于 已 知 的 计算 机 病毒 ， 采 用 流行 的 查 杀 病 毒 软 件 来 清除 非常 有 效 。 但 是 这 些 软件 
必须 经 常 升级 ， 因 为 病毒 的 制造 者 和 杀毒 软件 厂商 之 间 正 进行 着 一 场 较量 。 现 在 ， 病 毒 
隐藏 的 隐蔽 性 越 来 越 高 ， 使 得 杀毒 软件 不 再 局 限于 在 可 执行 代码 中 寻找 某 些 字符 串 。 它 
们 必须 能 够 仿效 这 些 代码 并 寻找 滤 过 性 病毒 的 行为 特征 。 由 于 病毒 越 来 越 难以 发 现 ， 病 
毒 检 测 软件 就 不 得 不 花 更 多 的 时 间 来 检查 每 个 文件 ， 有 时 所 花费 的 时 间 会 很 长 。 病 毒 的 
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制造 者 可 能 会 巧妙 地 设计 代码 ， 使 杀毒 软件 在 一 定 的 时 间 内 不 能 识别 出 来 。 


1.5.8 ”拒绝 服务 攻击 


在 前 面 讨论 的 攻击 方式 中 ， 大 多 数 是 基于 协议 的 弱点 、 服 务 器 软件 的 缺陷 和 人 为 因 
素 而 实施 的 。 拒 绝 服务 (Denial-ofService，DoS) 攻击 则 与 之 不 同 ， 它 们 仅仅 是 过 度 使 
用 服务 ， 使 软件 、 硬 件 过 度 运行 ， 使 网 络 连接 超出 其 容量 。 目 的 是 造成 自动 关机 或 系统 
瘫痪 ,或 者 降低 服务 质量 。 这 种 攻击 通常 不 会 造成 文件 删除 或 数据 丢失 ， 因 此 是 一 种 比 
较 温和 的 攻击 。 

这 类 攻击 往往 比较 明显 ， 较 容易 发 现 。 例 如 ， 关 闭 一 个 服务 很 容易 被 检测 到 。 尽 管 

攻击 很 容易 暴露 ， 但 要 找到 攻击 的 源头 却 十 分 困难 。 这 类 攻击 往往 生成 伪装 的 数据 包 ， 
其 中 含有 随机 和 无 效 的 返回 地 址 。 
分 布 式 拒绝 服务 (Distributed Denial-of-Service, DDoS) 攻击 使 用 很 多 Internet 主机 ， 
同时 向 某 个 目标 发 起 攻击 。 通 常 ， 参 与 攻击 的 主机 却 不 明 不 白地 成 为 攻击 者 的 帮凶 。 这 
些 主 机 可 能 已 经 被 攻击 者 攻破 ， 或 者 安装 了 恶意 的 代码 。DDoS 攻击 通常 难以 恢复 ， 因 
为 攻击 有 可 能 来 自 世界 各 地 。 

目前 ， 由 于 黑客 采用 DDoS 攻击 成 功 地 攻击 了 几 个 著名 的 网 站 ， 如 Yahoo、 微 软 及 
SCO 等 ， 它 已 经 引起 全 世界 的 广泛 关注 。DDoSs 其 实 是 DoS 攻击 的 一 种 ， 不 同 的 是 它 能 
够 使 用 许多 台 计 算 机 通过 网 络 同时 对 某 个 网 站 发 起 攻击 。 它 们 的 工作 原理 如 下 : 

(1) 黑客 通过 Internet 将 木马 程序 植 入 尽 可 能 多 的 计算 机 上 。 这 些 计算 机 分 布 在 全 
世界 不 同 的 区 域 。 被 植 入 的 木马 程序 绑 定 在 计算 机 的 某 个 端口 上 ， 等 待 接受 攻击 命令 。 

(2) 攻击 者 在 Internet 的 某 个 地 方 安装 一 个 主 控 程序 ， 该 主 控 程 序 中 含有 一 个 木马 
程序 所 处 位 置 的 列表 。 此 后 ， 主 控 程 序 等 待 黑 客 发 出 命令 。 

(3) 攻击 者 等 待 时 机 ， 做 好 攻击 命令 前 的 准备 。 

(4) 等 攻击 的 时 机 一 到 ， 攻 击 者 就 会 向 主 控 程 序 发 出 一 个 消息 ， 其 中 包括 要 攻击 的 
目标 地 址 。 主 控 程 序 就 会 向 每 个 植 入 木马 程序 的 计算 机 发 送 攻 击 命 令 ， 这 个 命令 中 包含 
攻击 目标 的 地 址 。 

(5) 这 些 木马 程序 立即 向 攻击 目标 发 送 大 量 的 数据 包 。 这 些 数据 包 的 数量 巨大 ， 足 
以 使 其 瘫痪 。 

从 主 控 程序 向 下 发 出 的 攻击 命令 中 通常 使 用 伪装 的 源 地 址 ， 有 些 则 采用 密码 技术 使 
其 难以 识别 。 从 植 入 木马 程序 的 计算 机 发 出 的 数据 包 也 使 用 了 伪装 的 人 P 源 地 址 ， 要 想 追 
查 数据 包 的 来 源 非 常 困 难 。 此 外 ， 主 控 程 序 常常 使 用 ICMP 响应 机 制 与 攻击 目标 通信 。 
许多 防火 墙 都 开放 了 ICMP 。 

现在 网 络 上 流行 许多 DDoS 攻击 工具 ,还 有 它们 的 许多 变种 。 其 中 之 一 是 Tribe Flood 
Network (TFN)。 从 许多 网 站 上 都 可 以 获得 其 源 代码 。 黑 客 可 以 选择 使 用 各 种 Flood 技 
术 ， 如 UDP Flood, TCP SYN Flood, ICMP 响应 Flood, Smurf 攻击 等 。 从 主 控 程序 返回 
的 ICMP 响应 数据 包 会 告诉 木马 程序 采用 哪 一 种 Flood 攻击 方式 。 此 外 , 还 有 其 他 DDoS 
TH, WW TFN2K (EK TFN 更 先进 的 工具 ， 可 以 攻击 Windows NT 和 许多 UNIX 系统 )， 
Trinoo 和 Stacheldraht 等 。 最 后 一 个 工具 十 分 先进 ， 它 具有 加 密 连 接 和 自动 升级 的 特征 。 
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现在 一 些 新 的 工具 越 来 越 高 明 。Slapper 是 一 个 攻击 Linux 系统 的 蠕虫 ， 它 可 以 在 许 
多 网 络 节点 中 间 建 立 实 体 到 实体 Cpeer-to-peer) 的 网 络 ， 使 主 控 程 序 的 通信 问题 变 得 更 
容易 。 还 有 一 些 工 具 则 使 用 IRC 信道 作为 控制 通道 。 

对 于 拒绝 服务 攻击 ， 没 有 什么 灵丹妙药 ， 只 能 采取 一 些 措施 减轻 攻击 的 强度 ， 但 绝 
对 不 可 能 完全 消除 它们 。 遇 到 这 种 攻击 时 ， 可 以 采取 以 下 4 种 措施 : 

(1) 寻找 一 种 方法 来 过 滤 掉 这 些 不 良 的 数据 包 。 

(2) 提高 对 接收 数据 进行 处 理 的 能 

(3) 追查 并 关闭 那些 发 动 攻击 的 站 点 。 

(4) 增加 硬件 设备 或 提高 网 络 容量 ， 以 从 容 处 理 正常 的 负载 和 攻击 数据 流量 。 

当然 ， 以 上 这 些 措施 都 不 是 完美 的 ， 只 能 与 攻击 者 展开 较量 。 到 底 谁 能 取得 这 场 斗 
争 的 胜利 ， 取 决 于 对 手 能 够 走 多 远 。 


16 _ 开 放 系统 互 连 安全 体系 结构 





研究 信息 系统 安全 体系 结构 的 目的 ， 就 是 将 普遍 性 的 安全 理论 与 实际 信息 系统 相 结 
合 ， 形 成 满足 信息 系统 安全 需求 的 安全 体系 结构 。 应 用 安全 体系 结构 的 目的 ， 就 是 从 管 
理 上 和 技术 上 保证 完整 、 准 确 地 实现 安全 策略 ， 满 足 安全 需求 。 开 放 系 统 互 连 (Open 
System Interconnection, OSI) 安全 体系 结构 定义 了 必需 的 安全 服务 、 安 全 机 制 和 技术 管 
理 ， 以 及 它们 在 系统 上 的 合理 部 署 和 关系 配置 。 

由 于 基于 计算 机 网 络 的 信息 系统 以 开放 系统 Internet 为 支撑 平台 ， 因 此 本 节 重 点 讨 
论 开 放 系 统 互 连 安全 体系 结构 。 

OSI 安全 体系 结构 的 研究 始 于 1982 年 ， 当 时 ISO 基本 参考 模型 刚刚 确立 。 这 项 工作 
J&H ISO/IEC JTC1/SC21 完成 的 。 国 际 标准 化 组 织 CSO) 于 1988 年 发 布 了 ISO 7498-2 
标准 ， 作 为 OSI 基本 参考 模型 的 新 补充 。1990 年 ， 国 际 电 信和 联盟 (International 
Telecommunication Union, ITU) 决定 采用 ISO 7498-2 作为 其 X.800 推荐 标准 。 因 此 ， 
X.800 和 ISO 7498-2 标准 基本 相同 。 

我 国 的 国家 标准 《信息 处 理 系 统 开 放 系统 互 连 基本 参考 模型 一 一 第 二 部 分 : 安全 
系 结构 》(GB/T9387.2 一 1995)( 等 同 于 ISO 7498-2 ) All Internet 安全 体系 结构 XRFC 2401) 
中 提 到 的 安全 体系 结构 是 两 个 普遍 适用 的 安全 体系 结构 ， 用 于 保证 在 开放 系统 中 进程 与 
进程 之 间 远 距离 安全 交换 信息 。 这 些 标准 确立 了 与 安全 体系 结构 有 关 的 一 般 要 素 ， 适 用 
于 开放 系统 之 间 需 要 通信 保护 的 各 种 场合 。 这 些 标准 在 参考 模型 的 框架 内 建立 起 一 些 指 
导 原 则 与 约束 条 件 ， 从 而 提供 了 解决 开放 互 连 系统 中 安全 问题 的 统一 方法 。 

为 了 有 效 评 估 一 个 机 构 的 安全 需求 ， 并 对 所 使 用 的 安全 产品 和 安全 策略 进行 评估 和 
选择 ， 安 全 管理 员 需 要 采用 某 种 系统 的 方法 来 定义 系统 对 安全 的 需求 ， 并 对 这 些 需求 进 
行 描述 。 在 集中 处 理 环 境 下 ， 要 准确 地 做 到 这 一 点 非常 困难 。 随 着 局 域 网 和 广域网 的 使 
用 ， 问 题 将 变 得 更 加 复杂 。 

ITU-T 推荐 方案 X.800 (EU ISO 安全 框架 ) 定义 了 一 种 系统 的 评估 和 分 析 方 法 。 对 
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ms 第 1 章 引言 


于 网 络 安全 管理 员 来 说 ， 它 提供 了 一 种 安全 的 组 织 方法 。 由 于 这 个 框架 是 作为 国际 标准 
开发 的 ， 所 以 被 广泛 使 用 。 一 些 计算 机 和 电信 服务 提供 商 已 经 在 其 产品 和 服务 上 开发 出 
这 些 安全 特性 ， 使 其 产品 和 服务 与 安全 机 制 的 结构 化 定义 紧密 地 联系 在 一 起 。 

通过 对 OSI 安全 架构 的 讨论 ， 可 以 对 许多 概念 进行 初步 了 解 。 下 面 重点 讨论 安全 体 
系 结构 中 所 定义 的 安全 服务 和 安全 机 制 ， 以 及 两 者 之 间 存 在 的 关系 。 


1.6.1 安全 服务 


X.800 对 安全 服务 做 出 定义 :为 了 保证 系统 或 数据 传输 有 足够 的 安全 性 ， 开 放 系统 
通信 协议 所 提供 的 服务 。RFC2828 也 对 安全 服务 做 出 了 更 加 明确 的 定义 ;安全 服务 是 一 
种 由 系统 提供 的 对 资源 进行 特殊 保护 的 进程 或 通信 服务 。 安 全 服务 通过 安全 机 制 来 实现 
安全 策略 。X.800 将 这 些 服务 分 为 5 类 共 14 个 特定 服务 ， 如 表 1-2 所 示 。 这 5 类 安全 服 
务 将 在 后 面 逐 一 进行 讨论 。 
#1-2 X800 定义 的 5 类 安全 服务 
分 类 | 特定 服务 内 容 

同等 实体 认证 用 于 逻辑 连接 建立 和 数据 传输 阶段 , 为 该 连接 的 

认证 确保 通信 实体 就 实体 的 身份 提供 可 信 性 保障 


: 它 所 声称 的 实体 ) :无 连接 传输 时 ,保证 收 到 的 信息 来 源 是 所 声称 
FCRIII [a apa 在 无 连接 传输 时 , 保证 收 到 的 信息 来 源 是 所 声称 
的 来 源 
防止 对 资源 的 非 授权 访问 , 包括 防止 以 非 授权 的 
访问 控制 方式 使 用 某 一 资源 。 这 种 访问 控制 要 与 不 同 的 安 
全 策略 协调 一 至 


连接 保密 性 保护 一 次 连接 中 所 有 的 用 户 数据 


























数据 保密 性 (保护 数据 ，| 无 连接 保密 性 保护 单个 数据 单元 里 的 所 有 用 户 数据 
使 之 不 被 非 授权 地 泄 | ,。 对 一 次 连接 或 单个 数据 单元 里 选 定 的 数据 部 分 
w ae 提供 保密 性 保护 


流量 保密 性 保护 那些 可 以 通过 观察 流量 而 获得 的 信息 
| 提供 一 次 连接 中 所 有 用 户 数据 的 完 束 性 . KOU ME 
其 有 恢复 功能 的 连接 | 个 娄 所 序列 内 存在 的 修改 、 插 入、 删除 或 重 发 


是 试图 将 其 恢复 
数据 完整 性 保证 接收 | 元 恢复 功能 的 连接 完 
bs 





= Se TSS eT 
到 的 数据 确实 是 授权 实 | 她 性 人 人 


体 发 出 的 数据 ， 即 没有 

ie ck wee 提供 一 次 连接 中 传输 的 单个 数据 单元 用 户 数据 

发) 选择 域 连接 完整 性 | 中 选 定 部 分 的 数据 完整 性 , 并 判断 选 定 域 是 否 有 
修改 、 插 入 、 删 除 或 重 发 

为 单个 无 连接 数据 单元 提供 完整 性 保护 ; 判断 选 

定 域 是 否 被 修改 

不 可 否认 性 《防止 整个 | op km 

人 加 分 道 信 过 程 皇 罗 全 | 源 点 的 不 可 否认 性 。 | 证 明 消息 由 特定 的 一 广发 出 


意 一 个 通信 实体 进行 否 | ,、,、 n i 
认 的 行为 ) 信和 宿 的 不 可 否认 性 证 明 消 息 被 特定 方 收 到 





无 连接 完整 性 
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1. 认证 

认证 服务 与 保证 通信 的 真实 性 有 关 。 在 单条 消息 下 ， 如 一 条 警告 或 报警 信号 认证 服 
务 是 向 接收 方 保证 消息 来 自 所 声称 的 发 送 方 。 对 于 正在 进行 的 交互 , 如 终端 和 主机 连接 ， 
就 涉及 两 个 方面 的 问题 : 首先， 在 连接 的 初始 化 阶段 ， 认 证 服务 保证 两 个 实体 是 可 信和 的， 
也 就 是 说 ， 每 个 实体 都 是 它们 所 声称 的 实体 ， 其 次 ， 认 证 服务 必须 保证 该 连接 不 受 第 三 
方 的 干扰 , 例如， 第 三 方 能 够 伪装 成 两 个 合法 实体 中 的 一 方 ,进行 非 授权 的 传输 或 接收 。 

该 标准 还 定义 了 如 下 两 个 特殊 的 认证 服务 : 

(1) 同等 实体 认证 。 用 于 在 连接 建立 或 数据 传输 阶段 为 连接 中 的 同等 实体 提供 身份 
确认 。 该 服务 提供 这 样 的 保证 ， 一 个 实体 不 能 实现 伪装 成 男 外 一 个 实体 或 对 上 次 连接 的 
消息 进行 非 授 权重 发 的 企图 。 

(2) 数据 源 认 证 。 为 数据 的 来 源 提供 确认 ， 但 对 数据 的 复制 或 修改 不 提供 保护 。 这 种 
服务 支持 电子 邮件 这 种 类 型 的 应 用 。 在 这 种 应 用 下 ， 通 信 实 体 之 间 没 有 任何 预先 的 交互 。 


2. 访问 控制 

在 网 络 安全 中 ,访问 控制 对 那些 通过 通信 连接 对 主机 和 应 用 的 访问 进行 限制 和 控制 。 
这 种 保护 服务 可 应 用 于 对 资源 的 各 种 不 同类 型 的 访问 。 例 如 ， 这 些 访问 包括 使 用 通信 资 
源 、 读 / 写 或 删除 信息 资源 或 处 理 信息 资源 的 操作 。 为 此 ， 每 个 试图 获得 访问 控制 权限 的 
实体 必须 在 经 过 认证 或 识别 之 后 ， 才 能 获取 其 相应 的 访问 控制 权限 。 


3. 数据 保密 性 

保密 性 是 防止 传输 的 数据 遭 到 诸如 窗 听 、 流 量 分 析 等 被 动 攻击 。 对 于 数据 传输 ， 可 
以 提供 多 层 的 保护 。 最 常 使 用 的 方法 是 在 某 个 时 间 段 内 对 两 个 用 户 之 间 所 传输 的 所 有 用 
户 数据 提供 保护 。 例 如 ， 若 两 个 系统 之 间 建 立 了 TCP 连接 ， 这 种 最 通用 的 保护 措施 可 以 
防止 在 TCP 连接 上 传输 用 户 数据 的 泄漏 。 此 外 ， 还 可 以 采用 一 种 更 特殊 的 保密 性 服务 ， 
它 可 以 对 单条 消息 或 对 单条 消息 中 的 某 个 特定 的 区 域 提供 保护 。 这 种 特殊 的 保护 措施 与 
普通 的 保护 措施 相 比 ， 所 使 用 的 场合 更 少 ， 而 且 实现 起 来 更 复杂 、 更 昂贵 。 

保密 性 的 另外 一 个 用 途 是 防止 流量 分 析 。 它 可 以 使 攻击 者 观察 不 到 消息 的 信 源 和 信 
宿 、 频 率 、 长 度 或 通信 设施 上 的 其 他 流量 特征 。 


4. 数据 完整 性 

与 数据 的 保密 性 相 比 , 数据 完整 性 可 以 应 用 于 消息 流 、 单条 消息 或 消息 的 选 定 部 分 。 
同样 ， 最 常用 和 直接 的 方法 是 对 整个 数据 流 提供 保护 。 

面向 连接 的 完整 性 服务 保证 收 到 的 消息 和 发 出 的 消息 一 致 , 不 存在 对 消息 进行 复制 、 
插入 、 修 改 、 倒 序 、 重 发 和 破坏 。 因 此 ， 面 向 连接 的 完整 性 服务 也 能 够 解决 消息 流 的 修 
改 和 拒绝 服务 两 个 问题 。 另 一 方面 ， 用 于 处 理 单条 消息 的 无 连接 完整 性 服务 通常 仅 防止 
对 单条 消息 的 修改 。 

另外 ， 还 可 以 区 分 有 恢复 功能 的 完整 性 服务 和 无 恢复 功能 的 完整 性 服务 。 因 为 数据 
完整 性 的 破坏 与 主动 攻击 有 关 ， 所 以 重点 在 于 检测 而 不 是 阻止 攻击 。 如 果 检 测 到 完整 性 
遭 到 破坏 ， 那 么 完整 性 服务 能 够 报告 这 种 破坏 ， 并 通过 软件 或 人 工 干预 的 办 法 来 恢复 被 
破坏 的 部 分 。 在 后 面 可 以 看 到 ， 有 些 安全 机 制 可 以 用 来 恢复 数据 的 完整 性 。 通 常 ， 自 动 
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恢复 机 制 是 一 种 非常 好 的 选择 。 


5. 不 可 否认 性 

不 可 否认 性 防止 发 送 方 或 接收 方 否认 传输 或 接收 过 某 条 消息 。 因 此 , 当 消 息 发 出 后 ， 
接收 方 能 证 明 消息 是 由 所 声称 的 发 送 方 发 出 的 。 同 样 ， 当 消息 接收 后 ， 发 送 方 能 证 明 消 
息 确实 是 由 所 声称 的 接收 方 收 到 的 。 

6. 可 用 性 服务 

X.800 和 RFC2828 对 可 用 性 的 定义 是 : 根据 系统 的 性 能 说 明 ， 能 够 按照 系统 所 授权 
的 实体 的 要 求 对 系统 或 系统 资源 进行 访问 。 也 就 是 说 ， 当 用 户 请 求 服务 时 ， 如 果 系 统 设 
计时 能 够 提供 这 些 服务 ， 则 系统 是 可 用 的 。 许 多 攻击 可 能 导致 可 用 性 的 损失 或 降低 。 可 
以 采取 一 些 自 动 防御 措施 (如 认证 、 加 密 等 ) 来 对 付 这 些 攻击 。 

X.800 将 可 用 性 看 做 是 与 其 他 安全 服务 相关 的 性 质 。 但 是 ， 对 可 用 性 服务 进行 单独 说 
明 很 有 意义 。 可 用 性 服务 能 够 确保 系统 的 可 用 性 ， 能 够 对 付 由 拒绝 服务 攻击 引起 的 安全 问 
题 。 由 于 它 依赖 于 对 系统 资源 的 恰当 管理 和 控制 , 因此 它 依赖 于 访问 控制 和 其 他 安全 服务 。 


16.2 ”安全 机 制 


K 1-3 列 出 了 X.800 定义 的 安全 机 制 。 由 表 可 知 ， 这 些 安全 机 制 可 以 分 成 两 类 : 一 
类 在 特定 的 协议 层 实现 ， 另 一 类 不 属于 任何 的 协议 层 或 安全 服务 。 前 一 类 被 称 做 特定 安 
全 机 制 ， 共 有 8 种 ， 后 一 类 被 称 为 普遍 安全 机 制 ， 共 有 5 种 。 
表 1-3 X.800 定义 的 安全 机 制 









































分 类 H 
m 运用 数学 算法 将 数据 转换 成 不 可 知 的 形式 。 数 据 的 变换 和 复原 依 
ia 束 于 算法 和 一 个 或 多 个 加 密 密 钥 
gigs 附加 于 数据 单元 之 后 的 数据 ， 它 是 对 数据 单元 的 密码 变换 ， 可 使 
特定 安全 机 z 接收 方 证 明 数据 的 来 源 和 完整 性 ， 并 防止 伪造 
制 (可 以 典 入 | 访问 控制 对 资源 实施 访问 控制 的 各 种 机 制 
人 数据 完整 性 。 ”| 用 于 保证 数据 元 或 数据 流 的 完整 性 的 各 种 机 制 
些 OSI 安全 | 认证 交换 通过 信息 交换 来 保证 实体 身份 的 各 种 机 制 
服务 ) 流量 填充 在 数据 流 空隙 中 插入 若干 位 以 阻止 流量 分 析 
pe 能 够 为 某 些 数据 动态 地 或 预定 地 选取 路 由 ,确保 只 使 用 物理 上 安 
i 全 的 子 网 络 、 中 继 站 或 链 路 
公证 利用 可 信 的 第 三 方 来 保证 数据 交换 的 某 些 性 质 
TEE BIDEE UREDE BUAAEM, M 
Pe 安全 标志 资源 〈 可 能 是 数据 元 ) 的 标志 ， 以 指明 该 资源 的 属性 
任何 ost 安 | 事件 检测 检测 与 安全 相关 的 事件 
全 服务 或 协 | 安全 审计 中 器。 | 收集 洪 在 可 用 于 安全 审计 的 数据 ， 以 便 对 系统 的 记录 和 活动 进行 
议 层 的 机 制 ) ”| 独立 地 观察 和 检查 
a 处 理 来 自 诸如 事件 处 党 与 管理 功能 等 安全 机 制 的 请 求 ,并 采取 恢 
安全 恢复 复 措施 
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1.6.3 ”安全 服务 与 安全 机 制 的 关系 


根据 X.800 的 定义 ， 安 全 服务 与 安全 机 制 之 间 的 关系 如 表 1-4 所 示 。 该 表 详细 说 明 
了 实现 某 种 安全 服务 应 该 采用 哪些 安全 机 制 。 
表 1-4 ”安全 服务 与 安全 机 制 之 间 的 关系 






访问 流量 


安全 服务 控制 填充 


路 由 
控制 







» 
x 





对 等 实体 认证 





























数据 源 认证 

访问 控制 

保密 性 Y 
流量 保密 性 y x 











数据 完整 性 
不 可 和 否认 性 
可 用 性 











YE: Y 表示 该 安全 机 制 适合 提供 该 种 安全 服务 ， 空 格 表示 该 安全 机 制 不 适合 提供 该 种 安全 服务 


表 1-5 安全 服务 与 协议 层 之 间 的 关系 
安全 服务 
对 等 实体 认证 
数据 源 点 认证 
访问 控制 
连接 保密 性 













无 连接 保密 性 








流量 保密 性 





具有 恢复 功能 的 连接 完整 性 





不 具有 恢复 功能 的 连接 完整 性 





选择 域 有 连接 完整 性 





源 点 的 不 可 否认 











信 宿 的 不 可 否认 
iE: Y 表示 该 服务 应 该 在 相应 的 层 中 提供 ， 空 格 表示 不 提供 。 第 7 层 必须 提供 所 有 的 安全 服务 。 
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164 在 OSI 层 中 的 服务 配置 


OSI 安全 体系 结构 最 重要 的 贡献 是 总 结 了 各 种 安全 服务 在 OSI 参考 模型 的 7 层 中 的 
适当 配置 。 安 全 服务 与 协议 层 之 间 的 关系 如 表 1-5 所 示 。 


17 _ 网络 安全 模型 





一 个 最 广泛 采用 的 网 络 安全 模型 如 图 1-5 所 示 。 通 信 一 方 要 通过 Internet 将 消息 传送 
给 另 一 方 ， 那 么 通信 双方 〈 也 称 为 交互 的 主体 ) 必须 通过 执行 严格 的 通信 协议 来 共同 完 
成 消息 交换 。 在 Internet 上 ， 通 信 双 方 要 建立 一 条 从 信 源 到 信 宿 的 路 由 ， 并 共同 使 用 通 
信 协 议 〈 如 TCP/IP) 来 建立 罗 辑 信息 通道 。 

从 图 1-5 中 可 以 看 出 ， 一 个 网 络 安全 模型 通常 由 6 个 功能 实体 组 成 ， 它 们 分 别 是 消 
息 的 发 送 方 〈 信 源 )、 消 息 的 接收 方 〈 信 宿 )、 安 全 变换 、 信 息 通道 、 可 信 的 第 三 方 和 攻 
击 者 。 


可 信 的 第 三 方 
ei 、 秘 密 信息 的 分 配 者 ) 









































发 送 方 接收 方 
变换 | 安 a 51355 安 
消 安全 变换 全 信息 通道 全 安全 变换 消 
B 消 O 消 E 
息 a 
秘密 信息 | 秘密 信息 
攻击 者 


图 1-5 网 络 安全 模型 


在 需要 保护 信息 传输 以 防 攻击 者 威胁 消息 的 保密 性 、 真 实 性 和 完整 性 时 ， 就 会 涉及 
信息 安全 ， 任 何 用 来 保证 信息 安全 的 方法 都 包含 如 下 两 个 方面 : 

A) 对 被 发 送信 息 进行 安全 相关 的 变换 。 例 如 对 消息 加 密 ， 它 打 乱 消息 使 得 攻击 者 
不 能 读 懂 消 息 ， 或 者 将 基于 消息 的 编码 附 于 消息 后 ， 用 于 验证 发 送 方 的 身份 。 

(2) 使 通信 双方 共享 某 些 秘密 信息 ， 而 这 些 消息 不 为 攻击 者 所 知 。 例 如 加 密 和 解密 
密 钥 ， 在 发 送 端 加 密 算 法 采用 加 密 密 钥 对 所 发 送 的 消息 加 密 ， 而 在 接收 端 解密 算法 采用 
解密 密 钥 对 收 到 的 密 文 解密 。 

图 1-5 中 的 安全 变换 就 是 密码 学 课程 中 所 学 习 的 各 种 密码 算法 。 安 全 信息 通道 的 建 
立 可 以 采用 本 书 第 10 章 讨论 的 密 钥 管理 技术 和 第 14 章 讨论 的 VPN 技术 实现 ,为 了 实现 
安全 传输 ， 需 要 有 可 信 的 第 三 方 。 例 如 ， 第 三 方 负责 将 秘密 信息 分 配给 通信 双方 ， 而 对 
攻击 者 保密 ， 或 者 当 通信 双方 就 关于 信息 传输 的 真实 性 发 生 争执 时 ， 由 第 三 方 来 仲裁 。 
这 部 分 内 容 就 是 本 书 第 9 章 要 讨论 的 PKICA 技术 。 

网 络 安全 模型 说 明 ， 设 计 安全 服务 应 包含 以 下 4 个 方面 内 容 : 
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(1) 设计 一 个 算法 ， 它 执行 与 安全 相关 的 变换 ， 该 算法 应 是 攻击 者 无 法 攻破 的 。 

(2) 产生 算法 所 使 用 的 秘密 信息 。 

(3) 设计 分 配 和 共享 秘密 信息 的 方法 。 

(4) 指明 通信 双方 使 用 的 协议 ， 该 协议 利用 安全 算法 和 秘密 信息 实现 安全 服务 。 

本 书 讨论 的 安全 服务 和 安全 机 制 基本 上 均 遵 循 图 1-5 所 示 的 网 络 安全 模型 。 但 是 ， 
还 有 一 些 安全 应 用 方案 不 完全 符合 该 模型 ， 它 们 遵循 图 1-6 所 示 的 网 络 访问 安全 模型 。 
该 模型 希望 保护 信息 系统 不 受 有 害 的 访问 。 大 多 数 读者 都 熟悉 黑客 引起 的 问题 ， 黑 客 试 
图 通过 网 络 渗入 到 可 访问 的 系统 。 有 时 他 可 能 没有 恶意 ， 只 是 对 冯 入 或 进入 计算 机 系统 
感到 满足 或 者 入 侵 者 可 能 是 一 个 对 公司 不 满 的 员工 ， 想 破坏 公司 的 信息 系统 以 发 泄 自 
己 的 不 满 ， 或 者 入 侵 者 是 一 个 罪犯 ， 想 利用 计算 机 网 络 来 获取 非法 的 利益 〈 如 获取 信用 
卡号 或 进行 非法 的 资金 转账 )。 








信息 系统 
` 计算 机 资源 
ae s (处 理 器 、 内 存 、1/0) 
ane ZEEE) oa 
FRAC D 访问 通道 软件 
门卫 功能 
内 部 安全 控制 











图 1-6 网 络 访问 安全 模型 


另 一 种 类 型 的 有 害 访问 是 在 计算 机 系统 中 加 入 程序 ， 它 利用 系统 的 弱点 来 影响 应 用 
程序 和 实用 程序 ， 如 编辑 程序 和 编译 程序 。 程 序 引起 的 威胁 有 如 下 两 种 

e ”信息 访问 威胁 : 以 非 授权 用 户 的 名 义 截获 或 修改 数据 。 

e ”服务 威胁 : 利用 计算 机 中 的 服务 缺陷 禁止 合法 用 户 使 用 这 些 服务 。 

病毒 和 蠕虫 是 两 种 软件 攻击 ， 它 们 隐藏 在 有 用 的 软件 中 ， 并 通过 磁盘 进入 系统 ， 也 
可 以 通过 网 络 进入 系统 。 网 络 安全 更 关心 的 是 通过 网 络 进入 系统 的 攻击 。 

对 付 有 和 害 访问 所 需 的 安全 机 制 可 分 为 两 大 类 ， 如 图 1-6 所 示 。 第 一 类 称 为 门卫 功能 ， 
它 包 含 基 于 口令 的 登录 过 程 , 该 过 程 只 允许 授权 用 户 的 访问 。 本 书 第 15 章 的 身份 认证 技 
术 就 属于 此 类 安全 机 制 。 第 二 类 称 为 内 部 安全 监控 程序 ， 该 程序 负责 检测 和 拒绝 蠕虫 、 
病毒 及 其 他 类 似 的 攻击 。 一 旦 非法 用 户 或 软件 获得 了 访问 权 ， 那 么 由 各 种 内 部 控制 程序 
组 成 的 第 二 道 防线 就 监视 其 活动 、 分 析 存 储 的 信息 ， 以 便 检测 非法 入 侵 者 。 本 书 第 12 
章 的 防火 墙 技术 和 第 13 章 的 入 侵 检 测 技术 均 属 于 此 类 安全 机 制 。 


4 A 


一 、 填 空 题 

1. 信息 安全 的 3 个 基本 目标 是 、 和 。 此 外 ， 还 有 
一 个 不 可 忽视 的 目标 是 

2. 网络 中 存在 的 4 种 基本 安全 威胁 有 
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3. 访问 控制 策略 可 以 划分 为 和 

4. 安全 性 攻击 可 以 划分 为 和 

5. X.800 定义 的 5 类 安全 服务 是 
和 žo 

6. X.800 定义 的 8 种 特定 的 安全 机 制 是 

7. X.800 定义 的 5 种 普遍 的 安全 机 制 是 

和 

二 、 思 考题 

1. 请 简 述 通信 安全 、 计 算 机 安全 和 网 络 安全 之 间 的 联系 与 区 别 。 

2. 基本 的 安全 威胁 有 哪些 ? 主要 的 渗入 类 型 威胁 是 什么 ? 主要 的 植 入 类 型 威胁 是 
什么 ? 请 列 出 几 种 最 主要 的 威胁 。 


3. 在 安全 领域 中 ， 除 了 采用 密码 技术 的 防护 措施 之 外 ， 还 有 哪些 其 他 类 型 的 防护 
措施 ? 

4. 什么 是 安全 策略 ? 安全 策略 有 几 个 不 同 的 等 级 ? 

5. 什么 是 访问 控制 策略 ? 什么 是 强制 性 访问 控制 策略 ? 什么 是 自主 性 访问 控制 
策略 ? 

6. 主动 攻击 和 被 动 攻击 有 何 区 别 ? 请 举例 说 明 。 

7. 网 络 攻击 的 常见 形式 有 哪些 ? 请 逐一 加 以 评述 。 

8. 请 简 述 安全 服务 与 安全 机 制 之 间 的 关系 。 

9. 请 画 出 一 个 通用 的 网 络 安全 模型 ， 并 说 明 每 个 功能 实体 的 作用 。 

10. 什么 是 安全 威胁 、 安 全 防护 和 风险 ? 

11. 什么 是 授权 ? 
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第 2 章 
计算 机 网 络 基础 


21 世纪 的 重要 特征 就 是 数字 化 、 网 络 化 和 信息 化 , 是 一 个 以 网 络 为 核心 的 信息 时 代 。 
网 络 现 已 成 为 信息 社会 的 命脉 和 发 展 知识 经 济 的 重要 基础 。 

本 章 主要 介绍 网 络 体系 结构 、 分 组 交换 技术 以 及 Intemet 的 基本 知识 ， 为 第 3 FE 
Internet 协议 的 安全 性 分 析 打 下 基础 。 


21 计算 机 网 络 的 定义 








最 简单 的 定义 : 计算 机 网 络 是 一 些 互 相连 接 的 、 自 治 的 计算 机 系统 的 集合 。 

通用 定义 : 凡 将 地 理 位 置 不 同 、 并 具有 独立 功能 的 多 个 计算 机 系统 通过 通信 线路 
和 设备 连接 起 来 、 以 功能 完善 的 网 络 软件 实现 网 络 中 资源 共享 的 系统 ， 称 为 计算 机 
网 络 。 

最 简单 的 计算 机 网 络 是 包含 两 台 计 算 机 的 网 络 ， 最 庞大 的 计算 机 网 络 就 是 Internet, 
它 也 称 为 “网 络 的 网 络 ”(Network of Networks). 


22 计算 机 网 络 体系 的 结构 





2.2.1 网 络 体系 结构 的 定义 


连接 在 网 络 上 的 两 台 计算 机 要 相互 传送 文件 ， 必 须 完成 以 下 几 方 面 的 工作 ; 

(1) 两 台 计 算 机 之 间 必 须 有 一 条 传送 数据 的 通路 。 

(2) 发 起 通信 的 计算 机 必须 将 数据 通信 的 通路 激活 。 所 谓 激活 就 是 要 发 出 一 些 信 令 ， 
保证 要 传送 的 计算 机 数据 能 在 这 条 通路 上 正确 发 送 和 接收 。 

(3) 要 告诉 网 络 如 何 识 别 接收 数据 的 计算 机 。 

(4) 发 起 通信 的 计算 机 必须 查 明 对 方 计算 机 是 否 已 准备 好 接收 数据 。 

(5) 发 起 通信 的 计算 机 必须 弄 清楚 ， 在 对 方 计算 机 中 的 文件 管理 程序 是 否 已 做 好 文 
件 接收 和 存储 的 准备 工作 。 

(6) 若 两 台 计 算 机 的 文件 格式 不 兼容 ， 则 至 少 其 中 一 台 计 算 机 应 完成 格式 转换 。 

CT) 对 出 现 的 各 种 差错 和 意外 ， 应 当 有 可 靠 的 措施 保证 对 方 计算 机 最 终 能 收 到 正确 
的 文件 。 





22% 计算 机 网 络 基础 ”mm 


综 上 所 述 ， 计 算 机 网 络 系统 是 非常 复杂 的 系统 ， 计 算 机 之 间 相 互通 信 涉 及 许多 复杂 
的 技术 问题 。 相 互通 信 的 两 台 计 算 机 必须 高 度 协调 地 工作 才 行 。 

在 计算 机 网 络 中 要 做 到 实体 之 间 有 条 不 率 地 交换 数据 ， 就 须 遵守 一 些 事 先 约定 好 的 
规则 。 这 些 规则 明确 规定 了 所 交换 的 数据 的 格式 以 及 有 关 的 同步 问题 。 这 些 为 进行 网 络 
中 的 数据 交换 而 建立 的 规则 、 标 准 或 约定 就 是 网 络 协议 (Protocol)。 

网 络 协议 类 似 于 人 类 协议 ， 只 不 过 交换 报 文 和 采取 动作 的 实体 是 某 些 设备 的 硬件 和 
软件 组 件 ， 如 图 2-1 所 示 。 网 络 中 的 通信 是 指 在 不 同系 统 中 的 实体 之 间 的 通信 。 一 个 协 
议定 义 了 在 两 个 或 多 个 通信 实体 之 间 交 换 的 报 文 格 式 和 次 序 ， 以 及 在 报 文 传输 和 /或 接收 
或 其 他 事件 方面 所 采取 的 动作 。 


PAS © SS 
Lil SH tie 
a 
你 好 TCP 连 接 
一 时 间 we 
几 点 钟 了 ? 请 求 http://www.ewLcom/kurese-ress 
下 午 2 点 响应 页 文件 





1 
图 2-1 人 类 通信 协议 和 计算 机 网 络 道 信 协 议 
为 了 设计 、 理 解 和 应 用 复杂 的 网 络 ， 人 们 提出 了 将 网 络 分 层 的 设计 思想 ， 如 图 2-2 
所 示 。 "分 层 ”可 以 将 庞大 、 复 杂 的 问题 转换 为 若干 较 小 、 简 单 和 单一 的 局 部 问题 ， 这 样 
就 易于 理解 、 研 究 和 处 理 。 














N NEHN] N 
































图 2-2 网络 分 层 设计 示意 图 


最 早 提出 分 层 思想 的 是 ARPANET 网 。 从 ARPANET 的 成 功 可 以 看 到 ， 尽 管 连 到 网 

上 的 主机 和 终端 的 型 号 及 其 性 能 各 不 相同 ， 但 由 于 它们 共同 遵守 了 计算 机 网 络 的 协议 ， 
所 以 可 以 相互 通信 。 
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体系 结构 通常 都 具有 可 分 层 的 特性 ， 因 此 网 络 体系 结构 都 采用 层次 结构 。 分 层 时 应 
注意 使 每 一 层 的 功能 非常 明确 。 若 层 数 太 少 ,就 会 使 每 一 层 的 协议 太 复杂 ; 若 层 数 太 多 ， 
又 会 在 描述 和 综合 各 层 功能 的 系统 工程 任务 时 遇 到 许多 麻烦 。 计 算 机 网 络 的 层次 、 各 层 
协议 及 层 间 接口 的 集合 ， 称 为 网 络 的 体系 结构 。 也 可 以 说 计算 机 网 络 的 体系 结构 是 构成 
计算 机 网 络 的 各 组 成 部 分 及 计算 机 网 络 本 身 所 必须 实现 的 功能 的 精确 定义 。 但 是 这 些 功 









































能 究竟 是 用 硬件 或 者 软件 来 完成 ， 则 是 一 个 遵循 这 种 体系 结构 的 实现 问题 。 换 名 话说 ， 
实现 方式 不 属于 网 络 体系 结构 网 络 体系 结构 有 很 多 种 ,图 2-3 给 出 了 OSIASO 和 TCP/IP 
体系 结构 参考 模型 及 其 关系 。 
应 用 层 
表示 层 应 用 层 
会 话 层 
传输 层 传输 层 
网 络 层 网 际 层 
meme | 
网 络 接口 层 
ossy TCP/IP 参 考 模型 


图 2-3 OSI/ISO 和 TCP/IP 体系 结构 参考 模型 及 其 关系 


2.2.2 ”两 种 典型 的 网 络 体系 结构 


1. OSI/ISO 体系 结构 
世界 上 第 一 个 网 络 体系 结构 SNA(System Network Architecture), 是 IBM 公司 于 1974 
年 提出 的 。 凡 是 遵循 SNA 体系 结构 的 设备 都 可 以 很 方便 地 进行 互 连 。 许 多 公司 也 纷纷 建 
立 自 己 的 网 络 体系 结构 ， 如 DEC 公司 提出 的 DNA (Digital Network Architecture) 体系 
结构 ， 用 于 本 公司 的 计算 机 组 成 网 络 。 由 于 网 络 体系 结构 不 一 样 ， 一 个 公司 的 计算 机 很 
难 与 男 一 个 公司 的 计算 机 互相 通信 。 于 是 ， 国 际 标准 化 组 织 ISO 在 1977 年 就 开始 制定 
有 关 异 种 计算 机 网 络 如 何 互 连 的 国际 标准 ， 并 提出 了 开放 系统 互 连 参考 模型 (OSLRM， 
Open System Interconnection Reference )， 简 称 OSI. 1983 年 ，OSI IRJ ISO 7498 国际 标 
准 。OSUISO 体系 结构 参考 模型 如 图 2-4 所 示 。 
OSI 的 7 层 功能 如 下 : 
o 物理 层 : 在 链 路 上 透明 地 传输 位 。 涉 及 线路 配置 、 确 定数 据 传输 模式 、 信 号 形式 、 
编码 及 连接 传输 介质 。 
o 数据 链 路 层 : 把 不 可 靠 的 信道 变 为 可 靠 的 信道 ， 在 链 路 上 无 差错 地 传送 帧 。 
e 网 络 层 : 在 源 节点 一 目的 节点 之 间 进 行路 由 选择 、 拥 塞 控制 、 顺 序 控制 、 传 送 包 
(分 组 )， 保 证 报 文 的 正确 性 。 
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o 传输 层 : 提供 端 一 端 则 可 靠 的 、 透 明 的 数据 传输 ， 保 证 报 文 顺序 的 正确 性 和 数据 
的 完整 性 。 

e 会 话 层 : 建立 通信 进程 的 逻辑 名 字 与 物理 名 字 之 间 的 联系 ， 提 供 进程 之 间 建 立 、 
管理 和 终止 会 话 的 方法 ， 处 理 同步 与 恢复 问题 。 

e 表示 层 : 实现 数据 转换 格式、 压缩 、 加 密 等 )， 提 供 标准 的 应 用 接口 、 公 用 的 
通信 服务 、 公 共 数 据 表示 方法 。 









































e 应 用 层 : 对 用 户 不 透明 的 各 种 服务 ， 如 E-mail. 

| 应 用 层 上 应 用 层 协议 - 应 用 层 
表示 层 H 表示 层 协议 二 RTR 
会 话 层 “上 会 话 层 协议 - 会 话 层 
传输 层 “| 传输 层 协议 二 “传输 层 
网 络 层 Rae 上 -一 网 络 层 协议 一 =| 。 网 络 层 

数据 链 路 层 | 一 链 路 层 协议 一 =| 通信 子 网 | 一 链 路 层 协议 一 =| 数据 链 路 层 
物理 层 。 | 一 物理 层 协议 一 | -一 物理 层 协议 一 | 。 物理 层 























图 2-4 OSI 体系 结构 参考 模型 


2. TCP/IP 体系 结构 

1969 年 ， 美 国 国防 部 高 级 研究 计划 局 (Advanced Research Project Agency, ARPA) 
资助 了 一 个 项 目 ， 该 项 目 通过 使 用 点 到 点 的 租用 线路 建立 一 个 包 交 换 的 计算 机 网 络 ， 这 
个 网 络 被 称 为 ARPANET， 它 为 早期 网 络 研究 提供 了 一 个 平台 。ARPA 制定 了 一 套 协 议 ， 
指明 了 单个 计算 机 如 何 通过 网 络 进行 通信 ， 其 中 ， 传 输 控 制 协议 〈Transmission Control 
Protocol, TCP) 和 网 际 协议 〈Internet Protocol, IP) 是 其 中 两 个 主要 的 协议 ， 这 套 协 议 
后 来 被 称 作 TCP/IP 协议 族 。TCP/IP 体系 结构 参考 模型 如 图 2-5 所 示 。 


应 用 层 “| 应 用 层 协议 =| ”应 用 层 

传输 层 ”上 一 一 一 一 一 一 传输 层 协议 一 一 一 一 一 ~| ”传输 屋 

网 际 层 。 三 一 网 际 层 协议 一 | 通信 子 网 | 网 际 层 协议 一 | ”网 际 层 
网 络 接口 层 网 络 接口 层 












































图 2-5 TCP/IP 体系 结构 参考 模型 


TCP/IP 体系 结构 的 网 络 接 口 层 可 以 包括 多 种 通信 网 。 如 以 太 网 、 电 话 网 、PPP 和 同 
ECF AH (Synchronous Digital Hierarchy, SDH) 等 。Internet 体系 结构 仅 关注 了 网 络 
层 与 这 些 通 信 网 的 接口 ， 如 何 传输 帧 是 通信 网 自己 的 事情 。 

IP 协议 支持 多 种 网 络 技术 互联 以 形成 一 个 逻辑 网 络 ， 提 供 了 主机 到 主机 的 端 到 端 通 
道 。TCP 和 UDP 提供 了 应 用 进程 到 应 用 进程 的 端 到 端 传输 通道 。 

从 用 户 的 角度 看 ， 实 现 异 构 网 络 互联 的 关键 就 是 使 各 种 网 络 类 型 之 间 的 差异 对 自己 
透明 。 在 TCP/IP 协议 族 中 ， 能 够 屏蔽 底层 物理 网 络 的 差异 ， 向 上 提供 一 致 性 的 协议 就 是 
IP HX. 
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2.2.3 网 络 协议 及 协议 封装 


一 个 网 络 协议 主要 由 以 下 三 个 要 素 组 成 : 

C1) 语法 ， 即 数据 与 协议 控制 信息 (Protocol Control Information, PCI) 的 结构 或 
格式 。 其 中 数据 是 服务 用 户 要 求 传送 的 信息 ; 协议 控制 信息 俗称 首部 ， 是 控制 协议 操作 
的 信息 。 例 如 ， 图 2-6 和 图 2-7 分 别 给 出 了 以 太 网 MAC 帧 的 语法 格式 和 IP 数据 报 的 语 
法 格式 。 

(2) 语义 ， 即 用 于 协调 和 进行 差错 处 理 的 控制 信息 ， 定 义 了 发 送 者 或 接收 者 所 要 完 
成 的 操作 。 如 需要 发 出 何 种 控制 信息 ， 完 成 何 种 动作 以 及 做 出 何 种 应 答 ; 在 何 种 条 件 下 
数据 必须 重 发 或 丢弃 。 

(3) 同步 ， 即 事件 实现 顺序 的 详细 说 明 。 

字 节 6 6 2 46~1500 4 


以 太 网 MAC 帧 | 目的 地 址 | 源 地 址 | 类 型 数据 FCS 


图 2-6 以太 网 MAC 帧 的 语法 格式 









































= 32 位 一 
| [ce | raceme | maam | 总 长 度 
标识 | 标志 | KNE 
L| tenm 生存 时 间 | HADE 
部 源 地 址 
目的 地 址 
| 可 选 字段 (长 度 可 变 ) 填充 
数据 部 分 








图 2-7 IP 数据 报 语法 格式 


协议 只 确定 计算 机 各 种 规定 的 外 部 特点 , 不 对 内 部 的 具体 实现 做 任何 规定 。 计算 
机 网 络 软 、 硬 件 厂商 在 生产 网 络 产 品 时 ， 是 按照 协议 规定 的 规则 生产 产品 ， 使 生产 出 
的 产品 符合 协议 规定 的 标准 , 但 生产 厂商 选择 什么 电子 元 件 、 使 用 何 种 语言 是 不 受 约 
Ri. 

在 计算 机 网 络 中 ， 每 层 都 有 各 自 的 传送 数据 单位 ， 这 个 数据 单位 因为 是 协议 之 间 交 
换 的 ， 故 称 作协 议 数据 单元 (Protocol Data Unit, PDU); N 层 的 协议 数据 单元 记 作 CN) 
协议 数据 单元 。 通 常 应 用 层 的 协议 数据 单元 称 作用 户 数据 或 用 户 消息 ; 传输 层 的 协议 数 
据 单元 称 作 数据 段 (segment)， 也 称 作 报 文 (message); 网 络 层 的 协议 数据 单元 称 作 分 
组 或 包 (packet); 数据 链 路 层 的 协议 数据 单元 称 作 帧 (frame); 物理 层 协议 数据 单元 称 
TERE (bit). 

层 与 层 之 间 交 换 数 据 的 封装 过 程 如 图 2-8 所 示 。 图 2-9 给 出 了 TCP/IP 协议 间 的 封装 
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关系 。 
(N) 首部 (N) 数据 部 分 
CN 协议 数据 单元 
NEB T 
VE [NER N-D 数据 部 分 

















N-D 协议 数据 单元 


FA 2-8 ” 层 与 层 间 交换 数据 的 封装 过 程 






































PE 首部 | 应 用 层 数据 T 
TCP 报 文 
网 络 层 以 上 
首部 
使 用 IP 地 址 
硬 ik 
IP 数 据 报 一 一 一 一 | 一 -一 一 一 一 一 
数据 链 路 层 
= 尾部 | 。 使 用 硬件 地 址 
| MACH =| 














图 2-9 TCP/IP 协议 间 的 封装 关系 


23 _ 分 组 交换 技术 





2.3.1 分 组 交换 技术 的 概念 


20 世纪 60 年 代 美 苏 冷战 时 期 ,美国 国防 部 领导 的 远景 研究 规划 局 ARPA 提出 要 研 
制 一 种 生存 性 〈survivability) 很 强 的 网 络 。 这 种 网 络 的 特点 是 ， 网 络 中 各 个 节点 同等 重 
要 ， 避 免 某 个 节点 成 为 打击 目标 ;在 战争 中 即使 网 络 中 的 某 些 线路 遭 到 破坏 ， 网 络 的 通 
信任 务 仍然 能 够 完成 。 这 种 网 络 就 是 后 来 的 计算 机 通信 网 络 ， 也 称 为 分 组 交换 网 络 。 分 
组 交换 网 的 示意 图 如 图 2-10 所 示 。 


2.3.2 分 组 交换 的 特点 


分 组 交换 的 工作 原理 : 在 发 送 端 先 把 较 长 的 报 文 划 分 成 较 短 的 、 固 定 长 度 的 数据 段 。 
每 一 个 数据 段 前 面 添 加 上 首部 即 构成 分 组 。 每 一 个 分 组 的 首部 都 含有 地 址 等 控制 信息 。 
分 组 交换 网 中 的 路 由 器 根据 收 到 的 分 组 的 首部 中 的 地 址 信息 ， 把 分 组 转发 到 下 一 个 路 由 
器 。 用 这 样 的 存储 转发 方式 ， 分 组 被 送 到 最 终 目 的 地 。 接 收 端 收 到 分 组 后 剥 去 首部 ， 把 
收 到 的 数据 恢复 成 为 原来 的 报 文 。 分 组 交换 的 工作 原理 如 图 2-11 所 示 。 








35 


mam 网 络 安全 一 一 技术 与 实践 (第 3 版 ) 
































































































































































































































"E 
路 由 器 -AB 
D 
发 送 的 分 组 口 
te © 
y m 1 E Hs 
< "| 
€ "a 
发 送 的 分 组 S; 
6 
H, 
S 
图 2-10 分 组 交换 网 
- Hx -| 
11100010101010010111100010000010101000010101 111010000001 10101 | 
111000101010100 | 101111000100000 | 1010100001010111 1010000001 10101 | 
|- 一 数据 段 ! 一 ~|- 一 数据 段 2 一 ~|- 一 数据 段 3 一 -一 数据 段 4 一 =| 
| 一 一 数据 段 1 一 -| 
首部 | 111000101010100 
分 组 
首部 | 101111000100000 
分 组 
首部 |1010100001010111 
分 组 
首部 | 101000000110101 
分 组 
图 2-11 分 组 交换 的 工作 原理 
24 Internet 的 基本 知识 
2.4.1 Internet 的 构成 


Internet 是 一 个 世界 范 目 


36 





目的 Network of Networks，Networks 意味 着 有 多 个 网 络 , 包括 
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局 域 网 、 城 域 网 和 广域网 。 出 现 多 种 网 络 类 型 的 原因 是 因为 没有 任何 一 种 类 型 的 网 络 可 
以 满足 所 有 和 需求。 局域网 受 地 理 跨度 限制 ， 广 域 网 不 能 提供 低 费 用 本 地 通信 。 
根据 工作 方式 , 可 以 把 Intemet 划分 为 边缘 部 分 和 核心 部 分 。 边缘 部 分 由 连接 在 Internet 
上 的 主机 《用 户 的 终端 、 服 务 器 ) 组 成 。 用 户 直接 使 用 边缘 部 分 进行 通信 和 资源 共享 。 
核心 部 分 由 大 量 网 络 和 连接 这 些 网 络 的 路 由 器 组 成 。Internet 的 组 成 要 素 如 图 2-12 所 示 。 
全 球 网 络 服务 提供 商 























移动 网 络 





图 2-12 Internet 的 组 成 要 素 


2.4.2 ”服务 类 别 


1. 面向 连接 的 服务 

面向 连接 的 服务 要 求 通信 双方 在 传输 数据 之 前 首先 建立 连接 。 数 据 传输 过 程 包括 建 
立 连接 、 传 输 数 据 和 释放 连接 三 个 阶段 。 在 Internet P, TCP 协议 提供 面向 连接 的 服务 ， 
为 应 用 程序 提供 可 靠 的 端 到 端 字 节 流 服务 。 为 保证 传输 层 服务 的 可 靠 性 与 稳定 性 ，TCP 
协议 提供 检 错 、 重 传 、 流 量 控制 和 阻塞 控制 等 许多 功能 。 


2. 无 连接 的 服务 

无 连接 的 服务 不 要 求 通信 双方 在 传输 数据 之 前 建立 连接 , 是 “尽力 传递 ”(Best-effort 
Delivery) 的 服务 。 在 Internet F, IP 协议 和 UDP 协议 提供 的 都 是 无 连接 的 服务 。IP 不 
提供 差错 检查 或 者 追踪 ， 它 尽 最 大 努力 使 传输 数据 到 达 目 标 ， 但 是 并 不 提供 任何 服务 质 
量 保证 。 同 理 ，UDP 没有 拥塞 控制 ， 也 不 提供 可 靠 交 付 。 无 连接 的 服务 也 叫 数据 报 服务 ， 
因此 通常 将 IP 协议 的 协议 数据 单元 称 为 IP 数据 报 ， 将 UDP 协议 的 协议 数据 单元 称 为 
UDP 数据 报 。 

2.4.3 IPv4 地 址 

1. 概述 

每 台 连 在 Internet 上 工作 的 主机 都 应 该 有 相应 的 地 址 标识 。 虽 然 网 卡 地 址 可 以 作为 
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地 址 标识 ， 但 是 因为 网 卡 地 址 是 硬件 地 址 ， 地 址 的 编 址 方式 决定 了 它 不 易 管 理 。 而 卫 地 
址 则 不 同 ， 它 不 但 可 以 确切 地 标识 网 上 的 每 一 个 主机 ， 而 且 易 于 管理 。 

Internet 上 的 主机 至 少 拥有 一 个 IP 地址。 任何 两 台 主 机 的 IP 地 址 不 能 相同 ， 但 是 允 
许 一 台 主 机 拥有 多 个 IP 地址 。 

IP 地 址 的 划分 经 过 了 三 个 阶段 : 分 类 的 IP 地 址 、 子 网 的 划分 和 无 分 类 编 址 。 分 类 的 
IP 地 址 是 最 基本 的 编 址 方法 ， 相 应 的 标准 协议 在 1981 年 获得 通过 。 子 网 的 划分 是 对 最 
基本 的 编 址 方法 的 改进 ， 其 标准 [RFC 950] 在 1985 年 获得 通过 。 无 分 类 编 址 是 比较 新 的 
编 址 方法 ， 在 1993 年 提出 后 就 很 快 得 到 推广 应 用 。 

2. 分 类 IP 地 址 结构 及 类 别 

IP 地 址 是 由 32 位 二 进 制 数 ， 即 4 个 字 节 组 成 的 ， 它 与 硬件 没有 任何 关系 ， 所 以 也 
称 为 逻辑 地 址 。IP 地 址 由 网 络 号 和 主机 号 两 个 字段 组 成 ， 这 样 的 IP 地 址 是 两 级 卫 地址 
结构 , 其 结构 如 图 2-13 所 示 。 IP 地 址 的 结构 使 我 们 可 以 在 Internet 上 很 方便 地 进行 寻 址 。 
寻 址 时 先 按 IP 地 址 中 的 网 络 号 (net-id) 找到 网 络 ， 再 按 主 机 号 Chost-id) 找到 主机 。 所 
以 IP 地 址 不 只 是 一 台 计算 机 的 代号 ， 它 同时 指出 了 该 计算 机 所 属 的 网 络 ， 并 指出 了 该 计 
算 机 是 此 网 络 上 的 哪 台 主 机 。 

比特 31 0 
网 络 号 (net-id) 主机 号 (host-id) 
图 2-13 IP 地址 结构 


考虑 到 有 的 网 络 拥 有 很 多 主机 ,而 有 的 网 络 上 的 主机 则 很 少 ， 因 此 为 了 便于 对 人 地 
址 进行 管理 ， 将 IP 地 址 划分 成 五 类 ， 即 A 类 到 EE 类， 如 图 2-14 所 示 。 目 前 大 量 使 用 的 
IP 地 址 是 A、B、C 三 类 。 当 某 单位 申请 到 一 个 P 地 址 时 ， 实 际 上 只 是 获得 了 一 个 网 络 
号 ， 具 体 的 各 个 主机 号 由 本 单位 自行 分 配 。 



























































比特 31 23 15 7 0 
A 类 |0 net-id hos t-id 

B 类 | 10 net-id hos t-id 

C 类 | 110 net-id hos t-id 

DÆ | 1110 组 播 地 址 

E 类 | 11110 保留 为 以 后 使 用 











图 2-14 耳 地 址 的 类 型 


另外 ，IP 定义 了 一 套 特殊 地 址 格式 ， 称 为 保留 地 址 。 这 些 特殊 地 址 包括 网 络 地 址 ， 
直接 广播 地 址 ， 有 限 广播 地 址 ， 本 机 地 址 。 
o 网 络 地 址 : 在 IP 地 址 中 当主 机 号 为 全 0 时 ， 可 用 来 指明 单个 网 络 的 地 址 。 它 不 
会 出 现在 目的 地 址 中 。 如 10.0.0.0 (A 类)，175.89.0.0 (B 类 )，201.123.45.0 (C 
类 )。 
o 直接 广播 地 址 : Æ P 地 址 中 当主 机 号 为 全 1、 网 络 号 不 为 0 时 ， 表 示 一 个 物理 网 
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络 上 的 所 有 主机 。 它 不 会 出 现在 源 地 址 中 。 在 这 种 情况 下 , 包 的 一 次 发 送 将 到 达 
一 个 特定 网 络 上 所 有 的 计算 机 。 如 201.114.64.255 是 网 络 201.114.64.0 的 广播 
地 址 。 

e 有限 广 播 地 址 : IP 地址 的 32 位 都 为 1 时 为 有 限 广播 地 址 。 它 不 会 出 现在 源 地 址 
中 。 有 限 广 播 指 在 一 个 本 地 物理 网 (该 主机 所 在 的 网 络 ) 的 一 次 广播 。 在 系统 启 
动 时 , 计算 机 还 不 知道 自己 所 在 的 网 络 号 , 便 可 将 有 限 广 播 地 址 作为 目的 地 址 来 
发 送 IP 数据 报 。 

e 本 机 地 址 ， 当 IP 地 址 的 32 位 都 为 0 时 为 本 机 地 址 。 它 不 会 出 现在 目的 地 址 中 。 
当 计算 机 拨号 上 网 时 , 主机 需要 去 Interet 服务 提供 商 (Internet Service Provider, 
ISP) 获得 一 个 IP 地 址 。 但 是 当 使 用 启动 协议 时 ，TCP/IP 协议 族 仍然 要 求 使 用 合 
法 的 他 源 地 址 。 为 了 处 理 这 一 情况 ， 计 算 机 使 用 本 机 地 址 作为 其 源 地 址 。 


3. 子 网 及 子 网 掩 码 

两 级 人 P 地 址 有 其 缺点 : 第 一 ，IP 地 址 空间 的 利用 率 有 时 很 低 ; 第 二 ,给 每 一 个 物理 
网 络 分 配 一 个 网 络 号 会 使 路 由 表 变 得 太 大 ， 导 致 网 络 性 能 变 坏 。 

在 IP 地 址 中 增加 一 个 subnet-id 字段 ,使 两 级 的 IP 地 址 结构 变 为 三 级 的 IP 地 址 结构 ， 
这 种 做 法 称 为 划分 子 网 (Subnetting)。 划 分 子 网 是 单位 内 部 的 事情 ， 单 位 对 外 仍然 表现 
为 没有 划分 子 网 的 网 络 。 子 网 号 subnet-id 是 从 两 级 IP 的 主机 号 部 分 “借用 ”的 若干 位 。 
Net-id | Subnet-id | Host-id 
子 网 掩 码 | 111111111111111111111111 | 00000000 


图 2-15 三 级 IP 地 址 的 类 型 及 子 网 掩 码 


每 个 子 网 都 有 自己 的 网 络 地 址 。 当 外 面 的 分 组 进入 到 本 单位 网 络 后 ， 本 单位 的 路 由 
器 需 把 分 组 转发 到 确定 的 子 网 上 。 此 时 ， 需 要 利用 子 网 掩 码 计算 子 网 的 网 络 地 址 。 子 网 
掩 码 的 构成 如 图 2-15 所 示 ，Net-id 和 Subnet-id 部 分 所 有 位 设置 为 1, Host-id 部 分 所 有 位 
设置 为 0。 将 子 网 掩 码 和 分 组 中 目的 IP 地 址 进行 逐 位 “与 ”运算 ， 所 得 的 结果 就 是 子 网 
的 网 络 地 址 。 

例 2-1 已 知 IP 地 址 为 202.112.64.19， 子 网 掩 码 为 255.255.255.240， 则 IP 地 址 
202.112.64.19 的 二 进 制 形式 为 

















11000010 01110000 01000000 00010011 (2-1) 
子 网 掩 码 255.255.255.240 的 二 进 制 形 式 为 

11111111 11111111 11111111 11110000 (2-2) 
式 (2-1) AK (2-2) 进行 逐 位 “与 ”运算 ， 得 出 网 络 地 址 为 

11000010 01110000 01000000 00010000 (2-3) 


该 网 络 地址 的 十 进 制 形式 为 
202.112.64.16 (2-4) 


4. 无 分 类 编 址 (CIDR) 
在 变 长 子 网 掩 码 (Variable Length Subnet Mask, VLSM) 提出 之 前 ， 一 个 划分 子 网 
的 网 络 中 所 有 子 网 使 用 的 都 是 一 个 相同 的 子 网 掩 码 。1987 年 ，[RFC 1009] 提 出 在 一 个 划 
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分 子 网 的 网 络 中 可 同时 使 用 几 个 不 同 的 子 网 掩 码 ， 即 根据 子 网 的 大 小 使 用 VLSM, KE 
进一步 提高 IP 地 址 资源 的 利用 率 。 这 种 方法 可 对 卫 地 址 按 需 分 配 ， 子 网 上 主机 多 就 多 
分 配 IP 地 址 ， 子 网 上 主机 少 就 少 分 配 IP 地 址 。 
在 VLSM 的 基础 上 又 进一步 研究 出 无 分 类 编 址 方法 ， 即 无 分 类 域 间 路 由 选择 
(Classless Inter-Domain Routing，CIDR)。CIDR 两 级 编 址 的 记 法 如 图 2-16 所 示 。 
比特 31 0 
JP 地 址 Network-prefix Host-id 














图 2-16 CIDR 二 级 编 址 结构 


CIDR 的 表示 方法 为 在 UP 地 址 后 面 加 上 一 个 斜 线 “/”， 和 斜 线 后 标注 网 络 前 组 所 占 的 
比特 数 。 如 IP 地 址 128.14.32.0/20 隐 含 地 指出 128.14.32.0 的 掩 码 是 255.255.240.0。 

CIDR 将 网 络 前 级 都 相同 的 连续 IP 地 址 组 成 “CIDR 地 址 块 ”。 一 个 CIDR 地 址 块 可 
以 表示 很 多 地 址 。 这 种 地 址 的 聚合 常 称 为 路 由 聚合 ， 它 使 得 路 由 表 中 的 项 目 大 大 减少 。 

另外 IP 地 址 还 分 为 全 球 地 址 和 内 网 地 址 / 专 网 地 址 。RFC1918 指明 的 内 网 地 址 / 专 网 
地 址 是 : 





10.0.0.0 ”到 ”10.255.255.255 WAH 10.0.0.0/8 
172.16.0.0 ”到 ”172.31.255.255 或 记 为 ”172.16.0.0/12 
192.168.0.0 到 192.168.255.255 或 记 为 ”192.168.0.0/16 


5. IP 地 址 与 物理 地 址 

在 IP 数据 报 的 首部 既 有 源 IP 地 址 也 有 目的 TP 地 址 ， 但 是 在 通信 中 路 由 器 只 根据 目 
的 IP 地 址 进行 路 由 选择 。 一 个 路 由 器 至 少 有 两 个 IP 地 址 和 两 个 MAC 地 址 。 路 由 器 的 
IP 地 址 不 会 出 现在 IP 数据 报 中 。 

物理 网 络 的 数据 链 路 层 看 到 的 只 是 MAC 帧 。 卫 数据 报 被 封装 在 MAC 帧 中 。 在 不 
同 的 网 络 上 传送 数据 时 , MAC 帧 的 首部 会 发 生变 化 。IP 地址 和 硬件 地 址 的 关系 如 图 2-17 


2.4.4 ”端口 的 概念 


端口 是 传输 层 的 概念 。 端 口号 (Port Number) 是 按照 应 用 进程 的 功能 对 应 用 进程 实 
行 的 标识 。 端 口号 的 长 度 为 16 位 。 端 口号 分 为 两 类 ， 一 类 是 熟知 端口 号 ， 其 数值 一 般 为 
0 一 1023。 当 一 种 新 的 应 用 服务 程序 出 现时 ， 必 须 为 它 指派 一 个 熟知 端口 。 例 如 ，HTTP 
协议 对 应 的 端口 号 是 80, SMTP 协议 对 应 的 端口 号 是 25，FTP 协议 对 应 的 端口 号 是 21。 
另 一 类 则 是 一 般 端 口 ， 用 来 随时 分 配给 请 求 应 用 服务 的 客户 进程 。 

F 台 主机 对 端口 号 实行 独立 编号 ， 因 此 端口 号 只 具有 本 地 意义 。 如 主机 A 和 主机 B 
上 都 可 以 拥有 各 自 的 端口 号 为 5001 的 进程 。 在 通信 过 程 中 ， 采 用 端口 号 和 卫 地 址 绑 定 
使 用 。 端 口号 和 IP 地 址 绑 定 后 形成 的 标识 称 为 插口 (Socket)， 表 示 为 
Socket = (IP Address : Port Number) 
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主机 HI 主机 H; 





























[Jala 
MAC 帧 MAC 帧 MAC 帧 


图 2-17 IP 地 址 和 硬件 地 址 的 关系 


TCP 是 面向 连接 的 传输 层 协议 。TCP 的 连接 是 一 对 端点 的 连接 ， 插 口 清晰 地 标识 出 这 条 
连接 的 源 地 址 和 目的 地 址 。 

端口 号 对 应 主机 中 的 一 个 应 用 进程 ,编程 语言 通常 用 port 表示 。 例 如， 一 个 TCP 连 
接 表示 为 

TCP Connection :: = (Socket 1, Socket 2) = ((IP1: Port1), (IP2: Port2)) 
其 中 ，IP1 表示 源 主机 IP 地 址 ，Portl 表示 该 主机 上 的 一 个 应 用 进程 ，IP2 表示 目的 主机 
IP 地 址 ，Port2 表示 目的 主机 上 的 一 个 应 用 进程 。 例 如 ， 一 个 客户 端 和 某 一 邮件 服务 器 的 
TCP 连接 表示 为 
TCP Connection :: = ((203.114.112.3:5001), (201.112.105.25:25))。 


习 A 


一 、 填 空 题 

1. 主机 的 IPv4 的 地 址 长 度 为 位 ， 主 机 的 MAC 地 址 长 度 为 位 。 

2. 端口 号 长 度 是 位 ， 插 口号 的 长 度 为 位 。 

3. 一 个 主机 的 IP SHE 211.013.25.233, PRET PIS HEY 255.255.255.224, 
该 主机 所 在 子 网 的 网 络 地 址 为 ， 该 子 网 的 广播 地 址 为 è 

4. 路 由 器 至 少 拥有 thik. 

5. TCP 是 连接 的 、 提 供 可 靠 的 协议 。 

6. 228.141.32.0/23 WA RIZA 位 ， 掩 码 是 ° 
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二 、 简 答题 

. 简 述 分 组 交换 的 原理 。 

. 简 述 面向 连接 服务 和 无 连接 服务 的 优 缺 点 。 
. 简 述 端口 在 通信 中 的 作用 。 

. 简 述 一 个 TCP 连接 的 过 程 。 

. 简 述 缺 省 子 网 掩 码 的 作用 。 

. 简 述 路 由 器 转发 一 个 IP 数据 报 的 过 程 。 

. 简 述 本 机 地 址 的 作用 。 

. 简 述 路 由 器 的 了 P 地 址 和 网 卡 地 址 的 对 应 关系 。 
9. 简 述 内 网 地 址 的 作用 。 

10. 简 述 路 由 聚合 的 含义 。 


oo ww 一 
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Internet 协议 的 安全 性 


TCPAP 协议 族 在 诞生 之 初 ， 网 络 中 的 用 户 彼此 之 间 被 认为 是 互相 信任 的 ， 没 有 提供 
任何 安全 措施 。 现今 , 已 不 能 认为 网 络 中 的 用 户 是 互相 信任 的 , 不 能 认为 网 络 是 安全 的 。 


34 Internet 协议 概述 








Internet 协议 的 主要 协议 及 其 层次 关系 如 图 3-1 所 示 。 
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图 3-1 TCP/IP 协议 族 不 同 层次 划分 示意 图 


35 ”网 际 层 协 议 





3.2.1 IP 协议 


1. 概述 
网 际 协议 (Intemet Protocol, IP) 是 TCP/IP 协议 族 的 核心 ， 也 是 网 际 层 中 最 重要 的 
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协议 。IP 数据 报 构成 了 TCP/IP 协议 族 的 基础 。 典 型 的 IP 数据 报 有 几 百 个 字 节 ， 其 中 首 
部 占 20~60 字 节 ， 其 余 为 数据 净 荷 部 分 。 

IP 层 接收 由 更 低层 (例如 网 络 接口 层 ) 发 来 的 数据 包 ， 对 数据 包 进 行 处 理 后 交付 到 
更 高 层 (TCP sk UDP 协议 ); AAR, IP 层 也 把 从 TCP 或 UDP 协议 来 的 数据 包 传送 到 更 
低层 。IP 采用 尽 最 大 努力 交付 的 服务 ， 是 一 种 不 可 靠 的 无 连接 数据 报 协 议 。 每 个 IP 数据 
报 独 立 路 由 ， 各 个 数据 报 可 能 沿 不 同 路 径 由 发 送 方 传送 到 接收 方 ， 因 此 ，IP 无 法 确认 数 
据 报 是 否 丢失 、 失 序 或 延迟 到 达 。 另 外 ,虽然 IP 首部 中 存在 校 验 位 ， 但 此 校 验 位 只 用 于 
检测 IP 数据 报 首 部 的 正确 性 ， 并 没有 使 用 任何 机 制 保证 数据 净 荷 传输 的 正确 性 ， 因 此 ， 
无 法 确认 IP 数据 报 是 否 损坏 。 较 高 层 的 协议 (如 TCP) 负责 处 理 这 些 问 题 ， 以 便 为 应 用 
程序 提供 一 条 可 靠 的 网 络 通信 和 链 路 。 


2. IP 协议 的 安全 问题 及 防护 措施 

IP 协议 存在 一 系列 典型 的 安全 问题 。 

C1) 耳 数 据 报 在 传递 过 程 中 易 被 攻击 者 监听 、 窃 取 。 此 种 攻击 是 一 种 被 动 的 攻击 方 
式 ， 攻 击 者 并 不 改变 IP 数据 报 的 内 容 ， 但 可 截取 TP 数据 报 ， 解 析 数 据 净 荷 ， 从 而 获得 
数据 内 容 。 这 种 类 型 的 攻击 很 难 被 检测 ， 因 为 攻击 过 程 并 不 影响 IP 数据 报 的 正确 传递 。 
针对 这 种 攻击 的 方法 是 对 IP 数据 报 进行 加 密 。 

(2) 由 于 IP 层 并 没有 采用 任何 机 制 保证 数据 净 荷 传输 的 正确 性 ， 攻 击 者 可 截取 IP 
数据 报 ， 修 改 数据 报 中 的 内 容 后 ， 将 修改 结果 发 送 给 接收 方 。 针 对 这 种 攻击 的 方法 是 对 
IP 数据 报 净 荷 部 分 实行 完整 性 检测 机 制 。 接收 方 在 收 到 IP 数据 报时 , 可 先 应 用 完整 性 检 
测 机 人 制 检测 数据 报 的 完整 性 ， 从 而 保证 收 到 的 IP 数据 报 在 传输 过 程 中 未 被 恶意 自 改 。 

(3) 高 层 的 TCP 和 UDP 服务 在 接收 IP 数据 报时 ， 通 常 假设 数据 报 中 的 源 地 址 是 有 
效 的 。 事实 上 , IP 层 不 能 保证 IP 数据 报 一 定 是 从 源 地 址 发 送 的 。 任 意 一 台 主机 都 可 以 发 
送 具有 任意 源 地 址 的 IP 数据 报 。 攻击 者 可 伪装 成 男 一 个 网 络 主机 ,发 送 含有 伪造 源 地 址 
的 数据 包 以 欺骗 接收 者 。 此 种 攻击 称 为 IP 欺骗 攻击 。 针 对 此 种 攻击 可 以 通过 源 地 址 鉴别 
机 制 加 以 防御 。 一 般 来 说 ， 认 证 需要 采用 高 层 协议 中 的 安全 机 制 来 实现 。 

(4) IP 数据 报 在 传递 过 程 中 ， 如 果 数 据 报 太 大 ， 该 数据 报 就 会 被 分 段 。 也 就 是 说 ， 
大 的 卫 数据 报 会 被 分 成 两 个 或 多 个 小 数据 报 ， 每 个 小 数据 报 都 有 自己 的 首部 ,但 其 数据 
净 荷 仅 是 大 数据 报 净 荷 的 一 部 分 。 每 个 小 数据 报 可 以 经 由 不 同 的 路 径 到 达 目的 地 。 在 传 
输 过 程 中 ， 每 个 小 数据 报 可 能 会 被 继续 分 段 。 当 这 些小 数据 报到 达 接 收 方 时 ， 它 们 会 被 
重组 到 一 起 。 按 照 协议 规则 ， 中 间 节 点 不 能 对 小 数据 报 进行 拼装 组 合 。 一 般 来 说 ， 包 过 
滤器 完成 IP 数据 报 的 分 段 和 重组 过 程 。 然 而 ， 正 是 由 于 卫 数据 报 在 传输 过 程 中 要 经 历 
被 分 段 和 重组 的 过 程 ， 攻 击 者 可 在 包 过 滤器 中 注入 大 量 病态 的 小 数据 报 ， 来 破坏 包 过 滤 
器 的 正常 工作 。 当 重 要 的 信息 被 分 成 两 个 卫 数据 报时 , 过 滤器 可 能 会 错误 地 处 理 数据 报 ， 
或 者 仅 传输 第 2 个 IP 数据 报 。 更 糟 的 是 ， 当 两 个 重 倒 的 IP 数据 报 含有 不 同 的 内 容 时 ， 
重组 规则 并 不 提示 如 何 处 理 这 两 个 IP 数据 报 。 许 多 防火 墙 能 够 重组 分 段 的 IP 数据 报 ， 

(5) 使 用 特殊 的 目的 地 址 发 送 P 数据 报 也 会 引入 安全 问题 。 如 发 送 目的 地 址 是 直接 
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广播 地 址 的 IP 数据 报 , 发 送 这 样 的 数据 包 是 非常 危险 的 ， 因为 它们 可 以 很 容易 地 被 用 来 
攻击 许多 不 同类 型 的 主机 。 许 多 攻击 者 已 将 定向 广播 作为 一 种 网 络 攻击 手段 。 其 实 许多 
路 由 器 具有 阻止 发 送 这 类 数据 包 的 能 力 ， 因 此 ， 强 烈 建议 网 络 管理 员 在 配置 路 由 器 时 ， 
一 定 要 启用 路 由 器 的 这 个 功能 。 


3.2.2 ARP 协议 


1. 概述 

在 通常 情况 下 ， 当 我 们 访问 一 台 机 器 的 时 候 一 定 可 以 知道 它 的 逻辑 地 址 ， 而 物理 地 
址 就 不 一 定 知道 。 如 果 不 知道 物理 地 址 则 不 能 把 网 络 层 的 数据 包 封装 成 MAC 帧 ， 完 不 
成 通信 。ARP 协议 正 是 为 了 解决 这 个 问题 而 设置 的 。 

在 每 台 主 机 上 都 设置 有 一 个 所 在 网 段 上 的 各 主机 和 路 由 器 的 IP 地 址 到 硬件 地 址 的 
映射 表 , 也 称 为 ARP 高 速 缓存 。 在 数据 发 送 方 , 当 网 络 层 的 数据 报 要 封装 成 MAC 帧 时 ， 
首先 在 高 速 缓存 中 查看 有 无 该 数据 报 首部 的 目的 地 址 所 对 应 的 硬件 地 址 ， 若 有 ， 则 将 该 
硬件 地 址 写 入 MAC 帧 的 目的 地 址 中 ， 完 成 数据 报 的 封装 。 若 无 ，ARP 协议 则 在 本 局 域 
网 上 广播 发 出 一 个 ARP 请 求 分 组 。 在 ARP 请 求 分 组 中 ,发送 方 的 UP 地 址 和 发 送 方 硬件 
地 址 ， 以 及 目标 IP 地 址 都 是 应 该 写 入 已 知 的 数据 ， 要 寻找 的 目标 硬件 地 址 写 入 全 0。 当 
该 请 求 分 组 到 达 每 一 个 机 器 上 时 , 每 一 台 机 器 都 要 拿 自 己 的 P 地 址 和 请 求 分 组 中 的 目标 
IP 地 址 进行 比较 ， 如 果 不 同 则 不 做 任何 动作 ; 若 相同 则 发 送 一 个 ARP 相应 分 组 给 请 求 
方 〈 这 里 不 再 使 用 广播 ， 而 是 单 播 )。 在 相应 分 组 中 发 送 方 写 明 了 自己 的 硬件 地 址 。 当 这 
一 通信 过 程 完成 时 ， 通 信 双 方 都 要 对 自己 的 ARP 高 速 缓存 进行 修改 ， 添 加 上 一 条 记录 。 

2. ARP 协议 的 安全 问题 及 防护 措施 

通过 上 述 ARP 协议 的 工作 原理 可 知 ， 一 名 黑客 只 要 能 把 他 的 主机 成 功 插入 某 个 网 
段 ,这 台 主 机 就 能 够 接收 到 所 在 网 段 的 ARP 请 求 分 组 , 从 而 获知 该 网 段 上 主机 人 和 MAC 
地 址 的 对 应 关系 。 从 这 里 也 可 以 看 出 ，ARP 攻击 仅仅 在 内 网 进行 ， 它 无 法 对 外 网 (互联 
网 、 非 本 区 域内 的 局 域 网 ) 进行 攻击 。 局域网 中 有 一 台 主 机 C, 其 MAC 地 址 为 
00-aa-00-F2-c8-04， 现 在 假设 它 感染 了 AR 木马 。 那么 主机 C 将 会 向 某 主机 A 发 送 一 
个 伪造 的 ARP 响应 ， 告 知 主机 A: 主机 B IY IP 地 址 192.168.10.8 对 应 的 MAC 地 址 是 
00-aa-00-F2-c8-04〈 其 实 是 主机 C 的 MAC 地 址 ) ， 于 是 ， 主 机 A 将 这 个 对 应 关系 写 入 
自己 的 ARP 缓存 表 中 。 以 后 当主 机 A 向 主机 B 发 送 数据 时 ， 都 会 将 本 应 发 往 主机 了 的 
数据 发 送 给 攻击 者 〈 主 机 C) 。 同 样 地 ， 如 果 攻 击 者 向 主机 B 也 发 送 一 个 伪造 的 ARP 
响应 , 告诉 主机 B: 主机 A 的 IP 地 址 192.168.0.1 对 应 的 MAC 地 址 是 00-aa-00-F2-c8-04， 
主机 B 也 会 将 数据 发 送 给 攻击 者 。 至 此 攻击 者 就 控制 了 主机 A 和 主机 B 之 间 的 流量 , 他 
可 以 选择 被 动 地 监测 流量 ， 获 取 密 码 和 其 他 涉 密 信息 ， 也 可 以 伪造 数据 ， 改 变 主机 A 和 
主机 B 之 间 的 通信 内 容 。 这 种 攻击 称 为 ARP 欺骗 。 

为 了 解决 ARP 攻击 问题 ， 可 以 在 网 络 中 的 交换 机 上 配置 802.1x 协议 。IEEE 802.1x 
是 基于 端口 的 访问 控制 协议 ， 它 对 连接 到 交换 机 的 用 户 进行 认证 和 授权 。 在 交换 机 上 配 
置 802.1x 协议 后 ， 攻 击 者 在 连接 交换 机 时 需要 进行 身份 认证 (结合 MAC、 端 口 、 账 户 、 
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VLAN 和 密码 等 ) 只 有 通过 认证 后 才能 向 网 络 发 送 数据 。 攻击 者 未 通过 认证 就 不 能 向 网 
络 发 送 伪造 的 ARP 报 文 。 

另外 ， 建 立 静 态 ARP 表 ， 也 是 一 种 有 效 地 抵抗 ARP 攻击 的 方法 ， 而 且 对 系统 影响 
不 大 。 缺 点 是 破坏 了 动态 ARP 协议 。 


3.2.3 ICMP 协议 


1. 概述 

Internet 控制 报 文 协议 (Internet Control Message Protocol, ICMP) 是 一 个 重要 的 错 
误 处 理 和 信息 处 理 协 议 ， 运 行 在 网 际 层 。 它 可 以 用 来 通知 主机 到 达 目 的 地 的 最 佳 路 由 ， 
报告 路 由 故障 ， 或 者 因 网 络 故障 中 断 某 个 连接 。ICMP 的 主要 功能 之 一 是 向 IP 节点 发 送 
一 个 简单 消息 ， 并 将 消息 回 显 到 发 送 主机 。 因 而 ， 它 可 以 提供 目的 节点 的 可 达 性 和 到 达 
目的 节点 所 采用 的 传输 路 径 等 信息 ， 在 网 络 监控 和 故障 诊断 方面 具有 重要 作用 ， 是 网 络 
管理 员 常 用 的 两 个 监控 工具 一 一 Ping 和 Traceroute 的 重要 组 成 部 分 。 

ICMP 提供 了 1IP 路 由 和 交付 问题 的 关键 反馈 信息 ， 以 及 重要 的 IP 诊断 和 控制 能 力 ， 
可 用 于 网 络 的 可 达 性 分 析 、 拥塞 控制 、 路 由 优化 和 超时 错误 报告 等 方面 [Jeffiey 等 2014] 。 
ICMP 最 典型 的 用 途 是 差错 报告 。 例 如 ， 当 某 个 网 关 发 现 传输 错误 时 ， 该 协议 会 立即 向 
信 源 主机 发 送 ICMP 报 文 , 报告 出 错 信息 , 让 信 源 主机 采取 相应 处 理 措施 。 在 运行 Telnet、 
FTP 或 HTTP 会 话 时 ， 通 常会 遇 到 如 “目的 网 络 不 可 达 ” 之 类 的 错误 报 文 ， 这 些 报 文 就 
是 在 ICMP 中 产生 的 。 

IPv6 有 新 版 本 的 ICMP。ICMPv6 与 ICMPv4 的 很 多 消息 是 相似 的 ， 如 Echo 请 求 与 
应 答 消 息 、 路 由 请 求 和 公告 等 ， 但 ICMPv6 也 新 增 了 一 些 消息 ， 如 路 由 器 重 编 号 等 。 


2. ICMP 协议 的 安全 问题 及 防护 措施 

ICMP 能 够 提供 有 关 网 络 配置 和 连接 状态 等 信息 ， 为 网 络 监控 和 故障 诊断 提供 了 重 
要 依据 。 然 而 ， 黑 客 也 能 够 利用 ICMP 提供 的 这 些 信息 ， 进 行 各 种 网 络 攻 击 和 信息 侦察 。 
例如 ， 一 些 黑客 会 滥用 ICMP 来 中 断 某 些 连接 ， 网 上 流行 的 nuke.c 黑客 程序 就 采用 了 这 
类 攻击 方式 。 此 外 ，ICMP 还 存在 一 些 典型 的 安全 问题 。 

(1) ICMP 重 定向 攻击 。ICMP 可 以 用 来 对 主机 之 间 的 消息 进行 重 定向 ， 同样， 黑客 

也 能 够 用 ICMP 对 消息 进行 重 定向 , 进而 使 得 目标 机 器 遭受 连接 劫持 和 拒绝 服务 等 攻击 。 
一 般 来 说 ， 重 定向 消息 应 该 仅 由 主机 执行 ， 而 不 是 由 路 由 器 来 执行 。 仅 当 消息 直接 来 自 
路 由 器 时 ， 才 由 路 由 器 执行 重 定向 。 然 而 ， 网 络 管理 员 有 时 可 能 会 使 用 ICMP 创建 通 往 
目的 地 的 新 路 由 。 这 种 非常 不 谨慎 的 行为 最 终 会 导致 非常 严重 的 网 络 安全 问题 。 
(2) ICMP 路 由 器 发 现 攻击 [James 等 2014]。 在 进行 路 由 发 现时 ，ICMP 并 不 对 应 答 
方 进行 认证 ， 这 使 得 它 可 能 遭受 严重 的 中 间 人 攻击 。 例 如 ， 在 正常 的 路 由 器 响应 ICMP 
询问 之 前 ， 攻 击 者 可 能 会 假冒 正常 的 路 由 器 ， 使 用 伪造 的 响应 信息 应 答 ICMP 询问 。 
于 在 路 由 发 现 的 过 程 中 ，ICMP 并 不 对 应 答 方 进行 认证 ， 因 此 接收 方 将 无 法 知道 这 个 响 
应 是 伪造 的 。 

(3) 防火 墙 穿越 攻击 。 通 过 防火 墙 穿越 攻击 技术 (Firewalking)， 攻 击 者 能 够 穿越 某 
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个 防火 墙 的 访问 控制 列表 和 规则 集 ， 进 而 确定 该 防火 墙 过 滤 的 内 容 和 具体 的 过 滤 方 式 。 
尽管 防火 墙 面临 着 启用 ICMP 所 带 来 的 风险 ， 但 在 防火 墙 上 封 堵 所 有 的 ICMP 消息 并 不 
妥当 。 这 是 因为 主机 常 采用 一 种 称 为 Path MTU 的 机 制 ， 来 测试 究竟 多 大 的 数据 包 可 以 
不 用 分 段 发 送 ， 而 这 种 测试 需要 依赖 于 地 址 不 可 达 的 ICMP 数据 包 穿 过 防火 墙 。 


3.2.4 IGMP 协议 


1. 概述 

IGMP (Internet Group Management Protocol) 作为 因特网 组 播 管理 协议 ， 是 TCP/IP 
协议 族 中 的 重要 协议 之 一 ， 所 有 IP 组 播 系统 (包括 主机 和 路 由 器 ) 都 需要 支持 IGMP。 
IGMP 运行 于 主机 和 组 播 路 由 器 之 间 ， 用 来 在 IP 主机 和 与 其 直接 相 邻 的 组 播 路 由 器 之 间 
建立 、 维 护 组 播 组 成 员 关 系 。 到 目前 为 止 , IGMP 共有 三 个 版 本 , 即 IGMP v1、v2 和 v3。 

IGMP 实现 的 主要 功能 包括 : 主机 通过 IGMP 通知 路 由 器 希望 接收 或 离开 某 个 特定 
组 播 组 的 信息 ; 路 由 器 通过 IGMP 周期 性 地 查询 局 域 网 内 的 组 播 组 成 员 是 否 处 于 活动 状 
态 ， 实 现 所 连 网 段 组 成 员 关 系 的 收集 与 维护 。 


2. IGMP 协议 的 安全 问题 及 防护 措施 

IGMP 组 播报 文 在 IP 数据 包 的 基础 上 封装 了 组 播 地 址 等 信息 ， 鉴 于 组 播报 文 基于 
UDP 进行 传输 并 缺少 用 户 认 证 措施 , 网 络 中 任何 主机 都 可 以 向 组 播 路 由 器 发 送 IGMP 包 ， 
请 求 加 入 或 离开 ， 导 致 非法 用 户 很 容易 加 入 组 播 组 ， 窃 听 组 播 数据 或 者 发 动 其 他 针对 计 
算 机 网 络 系统 的 攻击 。 目 前 ， 针 对 IGMP 协议 的 攻击 主要 有 以 下 儿 种 : 

(1) 利用 查询 报 文 攻击 。 利 用 具有 较 低 数 值 的 IP 地 址 路 由 器 发 送 伪造 的 查询 报 文 ， 
由 当前 的 查询 方 转变 为 响应 查询 请 求 ， 并 且 不 再 发 出 查询 报 文 。 攻 击 产生 的 效果 包括 : 
组 播 路 由 器 对 子 网 内 各 主机 的 加 入 请 求 不 做 任何 响应 ， 将 屏蔽 合法 用 户 ; 组 播 路 由 器 对 
子 网 内 主机 撤离 报 文 不 做 响应 ， 造 成 该 子 网 内 不 存在 组 播 用 户 ， 但 是 ， 组 播 数据 又 不 断 
向 该 子 网 组 播 路 由 器 发 送 请 求 报 文 ， 浪 费 有 限 的 带宽 和 资源 。 

(2) 利用 离开 报 文 进 行 DOS 攻击 。 子 网 内 非法 用 户 通过 截获 某 个 合法 用 户 信息 来 
发 送 伪造 的 IGMP 离开 报 文 , 组 播 路 由 器 接收 到 报 文 后 误 认为 该 合法 用 户 已 经 撤离 该 组 
播 组 ， 则 不 再 向 该 用 户 发 送 询问 请 求 ， 导 致 该 合法 用 户 不 能 再 接收 到 组 播 数 据 包 ， 造 成 
拒绝 服务 攻击 。 

(3) 利用 报告 报 文 攻击 。 非 法 用 户 伪装 报告 报 文 ， 或 截获 合法 用 户 的 报告 报 文 向 组 
播 路 由 器 发 送 伪造 报 文 ， 使 组 播 路 由 器 误 以 为 有 新 用 户 加 入 ， 于 是 将 组 播 树 扩展 到 非法 
用 户 所 在 的 子 网 ， 此 后 非法 用 户 就 可 以 接收 到 来 自 组 播 路 由 的 组 播报 文 ， 并 分 析 该 报 文 
以 展开 新 的 攻击 。 

IGMP 安全 性 的 基本 要 求 是 只 有 注册 的 合法 主机 才能 够 向 组 播 组 发 送 数 据 和 接收 组 
播 数 据 。 但 是 ，IP 组 播 很 难保 证 这 一 点 。 首 先 ，IP 组 播 使 用 UDP， 网 络 中 任何 主机 都 
可 以 向 某 个 组 播 地 址 发 送 UDP 包 ; 其 次 ，Intemet 缺少 对 于 网 络 层 的 访问 控制 ， 组 成 员 
可 以 随时 加 入 和 退出 组 播 组 ; 最后， 采用 明文 传输 的 IGMP 组 播报 文 很 容易 被 窃听 、 冒 
充 和 算 改 ， 使 得 组 播 安全 性 问题 仍然 是 一 个 技术 难点 。 
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针对 以 上 安全 问题 ， 一 种 有 效 的 安全 增强 措施 是 利用 IGMP v3 的 扩展 性 在 组 播报 文 
中 未 使 用 的 辅助 字段 部 分 增加 认证 信息 ， 即 在 每 个 首次 加 入 组 播 的 报 文中 添加 关联 主机 
身份 的 认证 信息 , 组 播 路 由 器 接收 到 认证 信息 并 通过 公 钥 密码 技术 实现 成 员 身 份 的 认证 ， 
随后 ， 在 发 送 给 组 播 成 员 的 查询 信息 中 添加 成 功 /失败 标识 的 认证 信息 。 通 过 此 认证 机 制 
来 保证 IGMP 的 安全 运行 。 


3.2.5 OSPF 协议 


1. 概述 

于 Internet 规模 太 大 ， 所 以 常 把 它 划分 成 许多 较 小 的 自治 系统 (Autonomous 
System，AS)。 自 治 系统 内 部 的 路 由 协议 称 为 内 部 网 关 协 议 ， 自 治 系统 之 间 的 协议 称 为 
外 部 网 关 协 议 。 常 见 的 内 部 网 关 协 议 有 RIP 协议 和 OSPF 协议 ; 外 部 网 关 协 议 有 BGP 协 
议 。OSPF 协议 和 BGP 协议 都 位 于 网 络 层 ， 但 RIP 协议 位 于 应 用 层 。OSPF 协议 是 分 布 
式 的 链 路 状态 路 由 协议 。 链 路 在 这 里 代表 该 路 由 器 和 哪些 路 由 器 是 相 邻 的 ， 即 通过 一 个 
网 络 是 可 以 连通 的 。 链 路 状态 说 明了 该 通路 的 连通 状态 以 及 距离 、 时 延 、 带 宽 等 参数 。 
在 该 协议 中 ， 只 有 当 链 路 状态 发 生变 化 时 ， 路 由 器 才 用 洪 泛 法 向 所 有 路 由 器 发 送 路 由 信 
息 。 所 发 送 的 信息 是 与 本 路 由 器 相 邻 的 所 有 路 由 器 的 链 路 状态 。 为 了 保存 这 些 链 路 状态 
信息 ， 每 个 路 由 器 都 建立 有 一 个 链 路 状态 数据 库 ， 因 为 路 由 器 交换 信息 时 使 用 的 是 洪 泛 
法 ， 所 以 每 个 路 由 器 都 存 有 全 网 的 链 路 状态 信息 ， 也 就 是 说 每 个 路 由 器 都 知道 整个 网 络 
的 连通 情况 和 拓扑 结构 。 这 样 每 个 路 由 器 都 可 以 根据 链 路 状态 数据 库 的 信息 来 构造 自己 
的 路 由 表 。 路 由 表 内 包含 有 数据 包 去 往 目的 地 地 址 的 下 一 跳 路 由 信息 。OSPF 协议 是 
TCP/IP 工作 的 基础 。 


2. OSPF 协议 的 安全 问题 及 防护 措施 

OSPF 的 报 文中 包含 了 认证 类 型 以 及 认证 数据 字段 , 如 图 3-2 所 示 。 其 中 主要 有 密码 
认证 、 空 认证 以 及 明文 认证 这 3 种 认证 模式 。 明 文 认证 是 将 口令 通过 明文 的 方式 来 进行 
传输 ， 只 要 可 以 访问 到 网 络 的 人 都 可 以 获得 这 个 口令 ， 易 遭受 来 自 网 络 内 部 的 攻击 。 密 
码 认 证 则 能 够 提供 良好 的 安全 性 。 为 接 入 同一 个 网 络 或 者 是 子 网 的 路 由 器 配置 一 个 共享 
密 铀 ， 然 后 这 些 路 由 器 所 发 送 的 每 一 个 OSPF 报 文 都 会 携带 一 个 建立 在 这 个 共享 密 钥 基 
础 之 上 的 消息 认证 码 。 当 路 由 器 接收 到 报 文 之 后 ， 根 据 路 由 器 上 的 共享 密 钥 以 及 接收 到 
的 报 文通 过 MD5 Hash 函数 生成 一 个 消息 认证 码 ， 并 将 生成 的 消息 认证 码 与 接收 到 的 消 
0 7 15 31bit 
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图 3-2 OSPF 报 文 结构 
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息 认证 码 进行 对 比 ， 如 果 两 者 一 致 就 接收 ， 反 之 则 丢弃 。OSPF 协议 规定 了 认证 域 ， 但 
其 作用 非常 有 限 。 主 要 原因 有 : 

(1) 即使 OSPF 提供 了 较 强 的 认证 ， 但 某 些 节点 仍然 使 用 简单 的 口令 认证 。 那 些 能 
够 戏弄 路 由 协议 的 人 也 就 有 能 力 收集 到 本 地 以 太 网 上 传送 的 口令 。 

(2) 在 路 由 对 话 中 ， 如 果 有 一 个 合法 的 用 户 遭 到 破坏 ， 那 么 它 的 消息 就 不 再 可 信 。 

G) 在 许多 路 由 协议 中 ， 每 台 机 器 只 对 它 邻 近 的 计算 机 对 话 ， 而 这 些 邻 近 的 计算 机 
将 会 重复 旧 的 会 话 内 容 。 这 样 ， 欺 骗 就 会 得 到 传播 扩散 。 路 由 信息 确定 了 两 条 通道 ; 一 
条 是 从 主 叫 机 器 到 目标 主机 ， 另 一 条 是 从 目标 主机 返回 到 主 叫 机 器 。 第 2 条 通道 可 以 是 
第 1 条 的 逆 通 道 ， 也 可 以 不 是 。 当 它们 不 是 逆 通 道 的 时 候 ， 就 叫 非 对 称 路 由 。 这 种 情况 
在 Internet 上 非常 普遍 。 当 网 络 有 多 个 防火 墙 时 ， 就 会 产生 问题 。 从 安全 的 角度 看 ， 返 
回 通道 通常 更 加 重要 。 当 目标 主机 遭 到 攻击 的 时 候 ， 反 向 流动 的 数据 包 是 通过 什么 通道 
到 达 攻 击 主机 的 呢 ? 如 果 敌 人 能 够 破坏 路 由 机 制 ， 那 么 目标 主机 就 会 被 欺骗 ， 使 其 相信 
敌人 的 机 器 是 一 台 真 正 可 信赖 的 机 器 。 如 果 这 种 情况 发 生 ， 那 么 依赖 于 源 地 址 验证 的 认 
证 机 人 制 将 会 失败 。 


3.2.6 BGP 协议 


1. 概述 

BGP (Border Gateway Protocol) 是 边界 网 关 协 议 ， 它 将 单一 管理 的 网 络 转化 为 由 多 
个 自治 系统 分 散 互联 的 网 络 。 它 通常 工作 于 ISP 内 部 或 ISP 之 间 ， 有 时 也 工作 于 Intranet 
内 部 ,BGP 使 用 TCP 作为 路 由 交换 的 底层 传输 协议 , 其 以 增 量 的 更 新 实现 路 由 信息 交换 。 
首 个 BGP 协议 版 本 在 RFC1105 中 规定 ， 目 前 实际 运行 版 本 为 BGP-4 (RFC1771)。 有 关 
BGP 的 详细 描述 可 参阅 相关 文献 [Stewart 1999]。 


2. BGP 协议 的 安全 问题 及 防护 措施 

BGP 协议 最 主要 的 安全 问题 在 于 : 每 个 自治 系统 向 外 通告 自己 所 拥有 的 CIDR 
(Classless Inter-Domain Routing) 地 址 块 ， 并且 协议 无 条 件 信任 对 等 系统 的 路 由 宣告 ， 
就 导致 一 个 自治 系统 向 外 通告 不 属于 自己 的 前 级 时 ,也 会 被 BGP 用 户 认为 合法 ， 从 而 接 
受 和 传播 .有 研究 人 员 [Li 等 2013] 将 问题 归结 为 BGP 缺 乏 一 个 安全 可 信 的 路 由 认证 机 制 ， 
即 BGP 无 法 对 所 传播 的 路 由 信息 的 安全 性 进行 验证 。 为 了 抵抗 针对 BGP 协议 的 攻击 ， 
研究 人 员 主 要 提出 了 两 类 方案 : 路 由 认证 类 方案 和 前 绥 动 持 检 测 类 方案 。 

路 由 认证 类 方案 利用 数字 证 书 、 签 名 和 其 他 密码 学 技术 来 保护 路 由 信息 的 真实 性 和 

(1) 首先 出 现 的 是 针对 劫持 BGPTCP 会 话 的 MD5 BGP 认证 技术 [Heffernan 1998]. 
会 话 者 通过 验证 TCP 伪 首 部 、 首 部 、 数 据 段 和 共享 秘密 的 MDS 杂凑 值 ， 来 实现 认证 。 
这 种 方法 比较 成 熟 ， 也 具有 很 高 的 效率 ， 但 是 其 安全 性 随 着 MDS 算法 的 安全 性 减弱 已 
经 逐渐 降低 。 

(2) S-BGP 方案 区 ent 等 2000a，2000b] 利 用 PKI 技术 来 增强 BGP 的 安全 性 。 该 方 
RE BGP 会 话 者 接收 到 的 整个 路 径 上 提供 数字 签名 链 。 这 种 方案 受到 PKI 技术 的 制约 ， 
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存在 计算 开销 大 等 问题 。 同 时 ， 受 制 于 各 厂商 和 管理 机 构 的 标准 难于 统一 ， 该 方案 推广 
与 部 署 困难 。 

G) 为 了 解决 S-BGP 方案 不 易 部 署 等 缺陷 ， 出 现 了 许多 基于 S-BGP 的 改进 方案 。 
如 Cisco 公司 的 soBGP 方案 [White 2003]、IRV (Interdomain Routing Validation) 方案 
[Goodell 等 2003] 以 及 IETF 的 SIDR 工作 组 开发 的 RPKI (Resource Public Key 
infrastructure) & BGPsec 方案 [Lepinski 2012a，2012b]。 

前 级 支持 检测 类 方案 利用 异常 检测 (Anomaly Detection) 技术 提取 BGP 协议 运行 中 
的 异常 信息 ， 对 前 级 支持 行为 进行 检测 ， 从 而 提高 BGP 的 安全 性 。 

(1) 多 源 AS (Multiple Origin AS, MOAS) 检测 技术 [Zhao 等 2001] 通 过 获取 网 络 
中 控制 平面 的 信息 , 对比 MOAS 列表 的 一 致 性 , 来 区 分 有 效 的 MOAS 和 攻击 的 MOAS。 
PHAS (Prefix Hijack Alert System) 检测 技术 通过 审查 BGP 协议 获得 的 路 由 数据 ， 发 现 
前 缀 支持 威胁 ， 并 向 管理 者 通报 路 由 异常 [Lad 等 2006]. 

(2) 主动 探测 技术 是 利用 数据 平面 反馈 的 信息 来 发 现 前 级 支持 行为 。 根 据 观测 点 
(Vantage Point) 与 被 测 自 治 系统 位 置 的 对 应 关系 , 可 以 分 为 由 外 及 内 探测 [Zheng 等 2007] 
和 由 内 及 外 探测 [Zhang 等 2010] 两 类 主动 探测 技术 。 

为 了 综合 利用 以 上 两 类 检测 技术 的 优点 ， 研 究 人 员 也 提出 了 将 主动 探测 技术 和 
MOAS 检测 技术 结合 的 前 绥 劫 持 混 合 检测 技术 [Hu 等 2007]。 


33 传输 层 协 议 



































本 节 主 要 讨论 传输 层 协 议 及 其 安全 性 分 析 。 传 输 层 的 任务 是 在 源 主 机 和 目的 主机 之 
间 提 供 可 靠 的 、 性 价 比 合理 的 数据 传输 功能 ， 向 下 利用 网 络 层 提供 给 它 的 服务 ， 向 上 为 
其 用 户 (通常 为 应 用 层 中 的 进程 ) 提供 高 效 、 可 靠 和 性 价 比 合理 的 服务 。 传 输 层 的 存在 
使 得 传输 服务 有 可 能 比 网 络 服 务 更 加 可 靠 ， 丢失 的 分 组 和 损坏 的 数据 可 以 在 传输 层 上 检 
测 出 来 ， 并 进行 纠正 。Internet 传输 层 有 两 个 主要 协议 ， 一 个 是 面向 连接 的 TCP 协议 ， 
一 个 是 无 连接 的 UDP 协议 。 


3.3.1 TCP 协议 


1. 概述 

TCP 是 一 个 面向 连接 的 可 靠 传输 协议 ,提供 了 一 些 用 户 所 期 望 的 而 IP 协议 又 不 能 提 
供 的 功能 。 如 了 P 层 的 数据 包 非 常 容易 丢失 、 被 复制 或 以 错误 的 次 序 传 递 ， 无 法 保证 数据 
包 一 定 被 正确 递交 到 目标 端 。 而 TCP 协议 会 对 数据 包 进行 排序 和 校 验 , 未 按照 顺序 收 到 
的 数据 包 会 被 重 排 ， 而 损坏 的 数据 包 也 可 以 被 重 传 。TCP 协议 的 原始 正式 定义 位 于 
RFC793 中 ,此 外 在 RFC1122 中 详细 阑 述 了 一 些 错误 的 修补 方案 , 在 RFC1323 中 又 进 一 
步 作 了 扩展 。 
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2. TCP 协议 的 安全 问题 及 防护 措施 

目前 针对 TCP 协议 的 攻击 主要 可 以 划分 为 以 下 三 类 。 

第 一 类 攻击 是 针对 TCP 连接 建立 阶段 的 三 次 握手 过 程 .TCP 是 一 个 面向 连接 的 协议 ， 
即 在 数据 传输 之 前 要 首先 建立 连接 ， 然 后 传输 数据 ， 当 数据 传输 完毕 后 释放 所 建立 的 连 
接 。TCP 使 用 三 次 握手 来 建立 连接 ， 这 种 方式 大 大 增强 了 传输 的 可 靠 性 ， 如 防止 已 失效 
的 连接 请 求 报 文 段 到 达 被 请 求 方 ， 产 生 错 误 造成 资源 的 浪费 。 具 体 过 程 如 图 3-3 所 示 。 
但 与 此 同时 ， 三 次 握手 机 制 却 给 攻击 者 提供 了 可 以 利用 的 漏洞 ， 这 类 攻击 中 最 常见 的 就 
是 SYN FLOOD 攻击 ， 攻 击 者 不 断 向 服务 器 的 监听 端口 发 送 建 立 TCP 连接 的 请 求 SYN 
数据 包 ， 但 收 到 服务 器 的 SYN 包 后 却 不 回复 ACK 确认 信息 ， 每 次 操作 都 会 使 服务 器 端 
保留 一 个 半 开 放 的 连接 ， 当 这 些 半 开放 连接 填 满 服务 器 的 连接 队列 时 ， 服 务 器 便 不 再 接 
受 后 续 的 任何 连接 请 求 ， 这 种 攻击 属于 拒绝 服务 (DoS) 攻击 。 防 御 这 类 攻击 的 主要 思 
路 是 在 服务 器 前 端 部 署 相应 的 网 络 安 全 设备 (如 防火 墙 设备 ) 对 SYN FLOOD 攻击 数据 
包 进 行 过 滤 。 

第 二 类 攻击 针对 TCP 协议 不 对 数据 包 进 行 加 密 和 认证 的 漏洞 ， 进 行 TCP 会 话 动 持 
攻击 。TCP 协议 有 一 个 关键 特征 ， 即 TCP 连接 上 的 每 一 个 字 节 都 有 它 自己 独 有 的 32 位 
序列 号 ， 数 据 包 的 次 序 就 靠 每 个 数据 包 中 的 序列 号 来 维持 。 在 数据 传输 过 程 中 所 发 送 的 
每 一 个 字 节 ， 包括 TCP 连接 的 打开 和 关闭 请 求 ， 都 会 获得 唯一 的 标号 。TCP 协议 确认 数 
据 包 的 真实 性 的 主要 根据 就 是 判断 序列 号 是 否 正 确 ， 但 这 种 机 制 的 安全 性 并 不 够 ， 如 果 
攻击 者 能 够 预测 目标 主机 选择 的 起 始 序 号 ， 就 可 以 欺骗 该 目标 主机 ， 使 其 相信 自己 正在 
与 一 台 可 信 主 机 进行 会 话 。 攻 击 者 还 可 以 伪造 发 送 序列 号 在 有 效 接收 窗口 内 的 报 文 ， 也 
可 以 截获 报 文 并 算 改 内 容 后 再 发 送 给 接收 方 。 防御 此 类 攻击 的 思路 是 在 TCP 连接 建立 时 
采用 一 个 随机 数 作为 初始 序列 号 ， 规 避 攻 击 者 对 序列 号 的 猜测 。 

第 三 类 攻击 是 针对 TCP 的 拥塞 控制 机 制 的 特性 ， 在 TCP 连接 建立 后 的 数据 传输 阶 
段 进行 攻击 ， 降 低 网 络 的 数据 传输 能 力 。 拥 塞 控制 是 TCP 的 一 项 重要 功能 ， 所 谓 拥塞 控 












消息 


激活 开放 
SYN=1, 序列 号 =X 


半 开 放 
SYN 二 1,ACK 二 1, 序 列 号 =Y, 确认 号 =X+1 






ACK 王 1, 序 列 号 =X+1， 确 认 号 =Y+1 


连接 建立 


图 3-3 TCP 三 次 握手 连接 建立 过 程 
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制 就 是 防止 过 多 的 数据 注入 网 络 ， 使 网 络 中 的 链 路 和 交换 结 点 〈 路 由 器 ) 的 负荷 不 致 过 
载 而 发 生 拥 塞 ，TCP 的 拥塞 控制 主要 有 以 下 4 种 方法 : 慢 启动 、 拥 塞 避免 、 快 重 传 和 快 
恢复 。 发 送 端 主机 在 确定 发 送 报 文 段 的 速率 时 ， 既 要 考虑 接收 端的 接收 能 力 ， 又 要 考虑 
网 络 的 传输 能 力 。 因 此 ， 每 一 个 TCP 连接 都 需要 维护 接收 窗口 和 拥塞 窗口 两 个 状态 变 
量 ， 接 收 窗口 是 接收 端 主机 根据 其 目前 的 接收 缓存 大 小 所 许诺 的 最 新 窗口 值 ， 拥塞 窗口 
的 大 小 表示 了 当前 网 络 的 传输 能 力 ， 由 发 送 端 设置 。 发 送 窗口 取 这 两 者 中 的 较 小 值 。 攻 
击 者 会 利用 发 送 端 计算 拥塞 窗口 的 漏洞 , 通过 降低 拥塞 窗口 大 小 来 降低 发 送 窗口 的 大 小 。 
拥塞 窗口 的 计算 采用 了 所 谓 的 慢 启动 (slow start) 算法 ， 其 具体 特征 就 是 拥塞 窗口 在 传 
输 正 常 时 成 指数 增长 ， 增 长 到 一 定 阐 值 后 按 线性 增长 ， 一 旦 出 现 数 据 包 传输 超时 ， 则 拥 
塞 窗 口 变 为 最 小 值 ， 闵 值 变 为 原来 一 半 。 有 经 验 的 攻击 者 可 以 利用 这 种 特性 ， 周 期 性 地 
制造 网 络 关键 节点 的 拥塞 ， 不 断 触发 拥塞 窗口 的 慢 启动 过 程 ， 最 终 达到 降低 正常 数据 传 
输 能 力 的 目的 。 因 为 此 类 攻击 的 具体 手段 比较 灵活 ， 防 御 此 类 攻击 的 难度 较 大 ， 需 要 网 
络 管理 人 员 实时 监测 网 络 的 异常 流量 ， 避 免 攻 击 者 制造 网 络 关 键 节点 的 拥塞 。 


3.3.2 UDP 协议 


1. 概述 

相 较 于 TCP 提供 的 丰富 功能 ，UDP 协议 只 在 IP 的 数据 报 服务 之 上 增加 了 很 少 的 一 
点 功能 , 即 端口 的 功能 和 差错 检测 的 功能 。 虽 然 UDP 用 户 数据 报 只 能 提供 不 可 靠 的 交付 ， 
但 UDP 在 某 些 方面 有 其 特殊 的 优点 : 第 一 ， 发 送 数据 之 前 不 需要 建立 连接 ， 因 此 减少 了 
开销 和 发 送 数据 之 前 的 时 延 ， 第 二 ， 不 使 用 拥塞 控制 ， 也 不 保证 可 靠 交付 ， 因 此 ， 主 机 
不 需要 维持 许多 参数 的 、 复 杂 的 连接 状态 表 ; B=, UDP 用 户 数据 报 只 有 8 个 字 节 的 首 
部 开销 ;第 四 ， 由 于 没有 拥塞 控制 ， 网 络 出 现 的 拥塞 不 会 使 源 主机 的 发 送 速 率 降低 。 这 
对 某 些 实时 应 用 是 很 重要 的 。 

K 3-1 列 出 了 常用 的 几 种 使 用 UDP 协议 进行 传输 的 应 用 层 协议 及 相应 端口 号 。 
表 3-1 常用 的 使 用 UDP 协议 进行 传输 的 应 用 层 协议 


应 用 名 称 应 用 层 协议 


DNS 

















域名 系统 











简单 文件 传输 协议 

网 络 时 间 协议 NTP | 123 
动态 主机 配置 协议 | 67, 68 
简单 网 络 管理 协议 | 161 





小 |w| 上 | 一 


网 络 文件 系统 





2. UDP 协议 的 安全 问题 及 防护 措施 

DoS 攻击 是 一 种 最 常见 的 UDP 攻击 ， 而 UDP Flood 攻击 又 是 DoS 攻击 中 最 普遍 的 
流量 型 攻击 。 其 攻击 原理 : 攻击 源 发 送 大 量 的 UDP 小 包 到 攻击 目标 ， 目 标 可 以 是 服务 器 
或 者 网 络 设备 (前 提 是 攻击 目标 已 经 开放 UDP 端口 )， 使 其 忙于 处 理 和 回应 UDP RX, 
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系统 资源 使 用 率 右 高 ， 最 后 导致 该 设备 不 能 提供 正常 服务 或 者 直接 死机 ， 严 重 的 会 造成 
全 网 竣 疾 。 可 以 说 UDP 攻击 是 一 种 消耗 攻击 目标 资源 , 同时 也 消耗 自己 资源 的 攻击 方式 ， 
技术 含量 较 低 。 

使 用 UDP 进行 传输 的 应 用 层 协 议 之 间 差 异 极 大 ， 因 此 不 同情 况 下 的 UDP 攻击 需要 
采取 不 同 的 防护 手段 : (1) 如 果 攻 击 包 是 大 包 ， 则 根据 攻击 包 大 小 设 定 包 碎片 重组 大 小 
通常 不 小 于 1500， 极 端 情况 下 可 以 考虑 丢弃 所 有 UDP 碎片 ; (2) 当 攻击 端口 为 业务 端 
口 ， 根 据 该 业务 UDP 最 大 包 长 设置 UDP 最 大 包 以 过 滤 异 常 流量 ; (3〉 当 攻击 端口 为 非 
业务 端口 ， 通 常 通过 设置 UDP 连接 规则 ， 要 求 所 有 去 往 该 端口 的 UDP 包 ， 必 须 首先 与 
TCP 端口 建立 TCP 连接 ， 不 过 这 种 方法 需要 借助 专业 安全 设备 。 


34 应 用 层 协议 





3.4.1 RIP 协议 


1. 概述 

RIP (Routing Information Protocol) 是 一 种 动态 内 部 路 由 /网 关 协 议 ， 适 用 于 简单 的 
IP 网络 。 该 协议 虽然 解决 的 是 网 络 互联 的 路 由 问题 ， 但 它 是 应 用 层 协议 。RIP 协议 最 早 
在 RFC 1058 中 提出 ，RIPv2 (RFC1723) 是 它 的 改进 方案 。RIPv2 HIM T AKTA HENS 
的 功能 ， 支 持 无 类 域 间 路 由 、 支 持 组 播 、 支 持 认 证 功能 ， 同 时 对 RIP 路 由 器 具有 后 向 兼 
容 性 。 

RIP 采用 距离 矢量 算法 与 相 邻 的 路 由 器 交换 路 由 信息 ， 它 以 “ 跳 数 ”( 即 metric) 来 
衡量 到 达 目的 地 的 距离 。 路 由 器 到 直 连 网 络 的 metric 标记 为 0， 每 经 过 一 个 路 由 器 到 达 
下 一 网 络 时 metric 增加 1。 为 限制 收敛 时 间 ，RIP 规定 一 条 有 效 路 由 信息 的 metric 不 能 
超过 15， 这 就 使 得 该 协议 不 能 应 用 于 大 型 的 网 络 。 

RIP 的 工作 原理 如 下 : G) 路 由 器 最 初 启动 时 只 包含 了 其 直 连 网 络 的 路 由 信息 ， 随 
后 定期 (30s) 和 相 邻 路 由 器 交换 路 由 信息 〈 就 是 路 由 器 当前 的 路 由 表 )， 路 由 信息 以 RIP 
报 文 传送 。(2) 路 由 器 根据 接收 到 的 RIP 报 文 来 更 新 路 由 表 ， 具 体 方法 是 添加 或 更 新 自 
己 的 路 由 表 项 。(3 ) 如 果 接 收 到 与 已 有 表 项 的 目的 地 址 相同 的 路 由 信息 ， 则 分 为 三 种 情 
况 对 待 ， 第 一 种 情况 ， 已 有 表 项 的 来 源 端口 与 新 表 项 的 来 源 端 口 相同 ， 那 么 根据 最 新 的 
路 由 信息 更 新 其 路 由 表 ; 第 二 种 情况 ， 已 有 表 项 与 新 表 项 来 源 于 不 同 的 端口 ， 那 么 比较 
它们 的 metric 值 ， 将 metric 值 较 小 的 一 个 作为 自己 的 路 由 表 项 ， 第 三 种 情况 ， 新 旧 表 项 
的 metric 值 相等 ， 通 常 的 处 理 方法 是 保留 旧 的 表 项 。(4) 若 接 收 到 的 目的 网 络 不 在 自己 
的 路 由 表 中 ， 则 把 该 项 目 加 到 路 由 表 中 ， 并 将 其 metric 值 加 1。 经 过 一 系列 路 由 更 新 ， 
网 络 中 的 每 个 路 由 器 都 具有 一 张 完整 的 路 由 表 ， 这 个 过 程 称 为 收敛 。RIP 协议 使 用 UDP 
的 520 端口 来 发 送 和 接收 RIP 报 文 。 路 由 器 每 隔 30s 向 其 邻居 路 由 器 发 送 本 地 路 由 表 。 
如 果 经 过 180s 都 没有 接收 到 更 新 报 文 ， 那 么 将 其 标记 为 不 可 达 ， 即 metric 值 标记 为 16。 
如 果 在 其 后 的 120s 仍然 没有 收 到 更 新 信息 ， 就 将 该 路 由 从 路 由 表 中 删除 。 
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2. RIP 协议 的 安全 问题 及 防护 措施 

RIPv1 有 其 固有 的 不 安全 因素 , 它 没有 使 用 认证 机 制 并 使 用 不 可 靠 的 UDP 协议 进行 
传输 。 RIPV2 的 分 组 格式 中 包含 了 一 个 选项 可 以 设置 16 个 字符 的 明文 加 密 字符 串 或 者 对 
MDS 杂凑 值 的 签名 。 虽 然 RIP 报 文 很 容易 伪造 , 但 RIPV2 中 对 MDS 杂凑 值 的 签名 与 认 
证 使 得 欺骗 的 操作 难度 大 大 提高 。 攻 击 者 可 以 伪造 RIP 路 由 更 新 信息 ， 并 向 邻居 路 由 器 
发 送 , 伪造 内 容 为 目的 网 络 地 址 、 子 网 掩 码 地 址 与 下 一 条 地 址 , 经 过 若干 轮 的 路 由 更 新 ， 
网 络 通信 将 面临 瘫痪 的 风险 。 此 外 ,攻击 者 会 利用 一 些 网 络 嗅 探 工具 (如 tcpdump 和 rprobe 
等 ), 来 获得 远程 网 络 的 RIP 路 由 表 , 通过 欺骗 工具 (如 srip ) 伪造 RIPV1 或 RIPv2 报 文 ， 
再 利用 重 定 向 工具 (如 fragroute) 截取 、 修 改 和 重 写 向 外 发 送 的 报 文 ， 以 控制 网 络 中 的 
报 文 信息 。 

针对 RIP 的 不 安全 因素 ， 中 小 型 网 络 通常 采取 以 下 的 两 种 防范 措施 : 

(1) 将 路 由 器 的 某 些 接口 配置 为 被 动 接口 ， 配 置 为 被 动 接 口 后 ， 该 接口 停止 向 它 所 
在 的 网 络 广播 路 由 更 新 报 文 ， 但 是 允许 它 接 收 来 自 其 他 路 由 器 的 更 新 报 文 。 

(2) 配置 路 由 器 的 访问 控制 列表 ， 只 允许 某 些 源 下 地 址 的 路 由 更 新 报 文 进入 列表 。 

目前 , 大 多 数 企业 网 络 使 用 的 是 采用 MDS 安全 机 制 的 RIPV2 协议 , 或 者 是 移植 了 安 
全 认证 机 制 的 OSPF 协议 来 提高 安全 性 。 


3.4.2 HTTP 协议 


1. 概述 

超 文 本 传输 协议 (Hyper Text Transfer Protocol, HTTP) 是 一 种 承载 于 TCP 协议 之 上 
的 应 用 层 协 议 ， 能 够 从 服务 器 传输 超 文 本 到 本 地 浏览 器 ， 是 互联 网 上 应 用 最 广泛 的 一 种 
网 络 协 议 。HTTP 协议 是 一 个 客户 端 终端 和 服务 器 端 之 间 请 求 和 应 答 的 标准 ， 有 具体 过 程 ; 
首先 由 客户 端 发 起 一 个 请 求 ， 建 立 到 服务 器 指定 端口 〈 默 认 是 80 端口 ) 的 连接 ，HTTP 
服务 器 接收 请 求 后 ， 会 向 客户 端 返回 一 个 状态 ， 包 括 协议 版 本 号 、 成 功 或 错误 的 代码 和 
返回 内 容 等 信息 ， 客 户 端 收 到 信息 后 通过 浏览 器 显示 内 容 ， 最 后 断 开 连接 。 

2. HTTP 协议 的 安全 问题 及 防护 措施 
于 HTTP 协议 设计 之 初 未 进行 安全 方面 的 考虑 , 数据 是 直接 通过 明文 进行 传输 的 ， 
不 提供 任何 方式 的 数据 加 密 ， 因 此 存在 较 大 的 安全 缺陷 。 

(1) 攻击 者 可 以 通过 网 络 嗅 探 工具 轻易 获得 明文 的 传输 数据 ， 从 而 分 析出 特定 的 敏 
感 信息 ， 如 用 户 的 登录 口令 、 手 机 号 码 和 信用 卡号 码 等 重要 资料 。 

(2) HTTP 协议 是 一 种 无 状态 的 连接 ， 在 传输 客户 端 请 求 和 服务 器 响应 时 ， 唯 一 的 
完整 性 检验 就 是 在 报 文 头 部 包含 了 数据 传输 长 度 , 而 未 对 传输 内 容 进行 消息 完整 性 检测 ， 
攻击 者 可 以 轻易 自 改 传输 数据 , 发 动 中 间 人 攻击 , 因此 HTTP 协议 不 适合 传输 重要 信息 。 

针对 HTTP 协议 的 这 些 安全 问题 , 超 文本 传输 安全 协议 (Hyper Text Transfer Protocol 
Secure, HTTPS) 在 HTTP 协议 和 TCP 协议 之 间 增 加 了 安全 层 来 增强 安全 性 ， 安 全 层 主 
要 通过 安全 套 接 层 (Secure Sockets Layer, SSL) 及 其 蔡 代 协议 传输 层 安全 协议 (Transport 
Layer Security, TLS) 实现 。 与 HTTP 协议 不 同 ，SSL 协议 通过 443 端口 进行 传输 ， 主 
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要 包含 记录 协议 (SSL Record Protocol) 和 握手 协议 (SSL Handshake Protocol)， 记 录 协 
议 确 定 了 对 传输 层 数据 进行 封装 ， 具 体 实施 加 密 解 密 、 计 算 和 校 验 等 安全 操作 。 握 手 协 
BUEH X.509 认证 ， 用 于 验证 传送 数据 ， 协 商 加 密 算法 ， 并 利用 非 对 称 加 密 算法 进行 身 
份 认证 和 生成 会 话 密 钥 等 操作 ， 从 而 对 通信 双方 交换 的 数据 加 密 ， 保 证 客户 与 服务 器 应 
用 之 间 的 通信 不 被 攻击 者 窃听 。 
HTTPS 协议 通过 增加 安全 层 , 可 实现 双向 身份 认证 、 生 成 会 话 密 钥 、 传 输 数 据 加 密 、 
数据 完整 性 验证 和 防止 数据 包 重 放 攻 击 等 安全 功能 ， 主 要 改进 在 于 使 用 非 对 称 加 密 算法 
在 不 可 信 的 互联 网 上 安全 传输 了 用 来 对 称 加 密 的 会 话 密 钥 ， 从 而 建立 了 安全 信道 ， 因 此 
很 多 银行 和 邮箱 等 安全 级 别 较 高 的 服务 都 使 用 HTTPS 协议 。 但 由 于 HTTPS 协议 会 额外 
增加 握手 过 程 并 对 数据 进行 加 密 ， 因 此 会 在 一 定 程度 上 拖 慢 网 页 加 载 速度 。 
于 SSL 使 用 了 非 对 称 加 密 算法 来 传输 会 话 密 钥 , 在 大 多 数 情况 下 , HTTPS 协议 本 
身 不 会 直接 遭遇 威胁 ， 针 对 HTTPS 协议 的 攻击 方式 主要 是 发 生 在 SSL 连接 还 未 发 生 时 
的 中 间 人 攻击 ， 利 用 SSLstrip 工具 可 攻击 从 非 安全 连接 到 安全 连接 的 通信 ， 即 从 HTTP 
FJ HTTPS 的 过 程 中 发 起 中 间 人 攻击 , 模拟 客户 端 向 服务 器 提供 证 书 , 再 从 安全 网 站 收 到 
流量 提供 给 客户 端 ， 进 而 窃取 敏感 信息 。 
多 数 SSL 加 密 的 网 站 都 使 用 名 为 OpenSSL 的 开源 软件 包 ，2014 年 4 月 曾 爆发 著名 
的 心脏 滴 血 〈Heartbleed) 漏洞 ， 影 响 了 全 球 绝 大 多 数 使 用 HTTPS 协议 的 安全 网 站 ， 目 
前 该 漏洞 已 被 修补 。 


3.4.3 TELNET 协议 


1. 概述 

远程 登录 (Telnet) 协议 是 TCP/IP 协议 族 中 的 一 员 ， 是 Internet 远程 登录 服务 的 标 
准 协议 。Telnet 协议 可 以 让 用 户 使 用 的 本 地 计算 机 成 为 远程 主机 系统 的 一 个 终端 。 用 户 
可 以 在 本 地 终端 上 使 用 Telnet 协议 远程 访问 服务 器 并 输入 命令 , 命令 会 在 服务 器 上 执行 ， 
并 将 执行 结果 返回 给 用 户 。Telnet 协议 侧重 于 访问 远程 主机 所 拥有 的 信息 资源 ， 如 果 希 
望 在 本 地 计算 机 与 远程 主机 间 传 递 文件 , 那么 相 较 而 言 FTP 协议 会 更 加 快捷 有 效 。Telnet 
协议 默认 采用 TCP 23 号 端口 。 


2. Telnet 协议 的 安全 问题 及 防护 措施 

Telnet 协议 现今 并 不 多 用 ， 许 多 服务 器 都 禁止 了 Telnet 服务 。 因 为 在 注重 安全 性 的 
现代 网 络 环境 中 ， 我 们 不 再 假设 通信 网 络 与 通信 各 方 是 可 信任 的 ， 大 多 数 Telnet 会 话 都 
来 自 不 可 信 的 终端 ， 这 些 终端 与 服务 器 之 间 的 网 络 也 是 不 可 信任 的 。 而 工作 在 上 述 环境 
下 的 Telnet 协议 是 一 种 明文 传输 协议 , 它 明 文 传输 用 户 的 通信 内 容 , 包括 用 户 名 和 密码 。 
因此 Telnet 协议 缺乏 对 数据 保密 性 与 完整 性 的 保护 ， 具 体 存 在 以 下 两 类 主要 安全 问题 : 

(1) 攻击 者 可 以 通过 嗅 探 器 (Sniffer〉 监听 Telnet 会 话 ， 并 记录 用 户 名 和 口令 组 合 
其 至 所 有 会 话 内 容 。 事 实 上 ， 近 年 来 在 许多 主要 ISP 的 主机 上 都 发 现存 在 嗅 探 器 。 这 些 
嗅 探 器 捕获 Internet 业务 流 的 成 功率 相当 高 , 它们 记录 Telnet, FTP 和 rlogin 会 话 的 前 128 
个 字符 ， 这 足以 记录 目标 主机 的 地 址 、 登 录用 户 名 和 口令 。 







































































55 


ee 网络 安全 一 一 技术 与 实践 (第 3 版 ) mm 


(2) 除了 监听 Telnet 会 话 等 被 动 的 攻击 方式 ， 攻 击 者 还 可 以 采取 主动 的 攻击 方式 ， 
比如 从 通信 线路 着 手动 持 Telnet 会 话 并 在 认证 完成 后 自 改 或 插入 一 些 命令 ， 或 者 在 会 话 
结束 后 仍然 保持 已 建立 的 连接 。 事 实 上 ,已 经 有 黑客 团体 掌握 了 使 用 TCP 支持 工具 的 方 
法 ， 他 们 能 够 在 某 种 条 件 下 劫持 TCP 会 话 。 对 黑客 团体 而 言 ，Telnet 和 rlogin 会 话 是 极 
具 吸 引力 的 目标 。 在 Telnet 会 话 遇 到 上 述 的 主动 攻击 时 ， 即 使 用 户 没 有 采用 传统 的 静态 
口令 ， 而 是 采用 一 次 性 口令 (One-Time Password, OTP) 或 称 动态 口令 的 机 制 ( 它 采用 
密码 学 中 的 HMAC 算法 构造 的 动态 口令 , 这 部 分 内 容 将 在 后 续 章节 中 详细 讨论 ) 认证 登 
录 ， 也 只 能 避免 泄露 用 户 名 与 静态 口令 的 组 合 ， 而 不 能 避免 会 话 被 劫持 。 

对 Telnet 会 话 进行 加 密 是 解决 上 述 安全 问题 的 可 行 方案 。 但 是 ， 如 果 通信 双方 互 不 
信任 ， 单 钥 加 密 〈 在 后 续 章 节 中 会 详细 介绍 ) 则 有 害 无 益 ， 因 为 通信 一 方 必须 将 密 钥 提 
供给 不 可 信 的 另 一 方 ， 这 样 会 泄漏 该 密 钥 。 目 前 存在 多 种 Telnet 的 加 密 解决 方案 ， 比 如 
stel, SSLtelnet, stelnet 和 SSH。 虽 然 也 已 经 出 现 了 对 Telnet 加 密 的 标准 化 版 本 ， 但 是 尚 
不 清楚 有 多 少 用 户 使 用 它 。 而 SSH 已 经 成 为 远程 登录 事实 上 的 标准 协议 。 


3.4.4 SSH 协议 


1. 概述 
安全 壳 (Secure Shell, SSH) 协议 是 一 种 在 不 安全 的 网 络 上 建立 安全 的 远程 登录 或 
其 他 安全 网 络 服务 的 协议 ， 由 IETF 的 网 络 工作 小 组 (Network Working Group) 所 制定 。 
SSH 是 建立 在 应 用 层 和 传输 层 基础 上 的 安全 协议 。SSH 设计 的 原意 是 为 了 取代 原 UNIX 
系统 上 的 rep, rlogin 和 rsh 等 不 安全 的 指令 程序 ， 现 被 用 来 取代 Telnet 实现 安全 的 远程 
登录 ， 并 可 以 为 POP，FTP 甚至 PPP 等 网 络 应 用 程序 提供 一 个 安全 的 “隧道 ”。SSH HE 
供 多 种 身份 认证 和 数据 加 密 机 制 ， 并 采用 “挑战 /响应 ”机 制 替 代 传统 的 主机 名 和 口令 认 
UE. SSH 对 所 有 传输 的 数据 使 用 RSA 公 钥 加 密 算 法 进行 处 理 , 避免 了 如 Telnet 等 传统 的 
网 络 服务 程序 明文 传输 口令 和 数据 带 来 的 信息 泄露 隐患 ， 同 时 能 够 有 效 防止 “中 间 人 攻 
击 ”(Man-in-the-middle Attack), DNS 欺骗 和 IP 欺骗 。SSH 协议 默认 采用 TCP 22 端口 。 
SSH 的 通信 流程 主要 分 为 6 步 : 建立 TCP 连接 、 版 本 协商 、 算 法 协商 、 密 钥 建 立 和 
民 务 器 认证 、 用 户 认 证 、 通 信 会 话 。 


2. SSH 协议 的 安全 问题 及 防护 措施 

SSH 协议 主要 由 3 层 协议 组 成 : 传输 层 协议 、 用 户 认证 协议 和 连接 协议 ， 其 中 高 层 
协议 要 运行 在 底层 协议 的 基础 上 ， 因 此 远程 登录 过 程 的 安全 性 是 由 3 个 安全 协议 共同 保 
证 的 。SSH 协议 虽然 为 目前 来 讲 较 可 靠 ， 专 为 远程 登录 会 话 和 其 他 网 络 服务 提供 安全 性 
的 协议 ， 但 仍 有 一 些 安全 性 问题 需要 关注 ， 并 会 面临 多 种 网 络 攻击 。 

A) 服务 器 认证 。SSH 协议 主要 面向 互联 网 网 络 中 主机 之 间 的 互 访 与 信息 交换 ， 拥 
有 一 套 以 主机 密 钥 为 基础 的 完备 的 密 钥 机 制 。 然 而 在 某 些 安全 性 不 高 的 网 络 环境 中 ， 没 
有 可 信 的 认证 机 构 对 服务 器 的 真实 性 进行 验证 ， 同 时 为 了 用 户 的 客户 端 使 用 方便 ，SSH 
协议 提供 了 一 个 可 选 功能 ， 即 在 客户 机 第 一 次 连接 到 服务 器 时 ， 可 以 不 对 服务 器 的 主机 
密 钥 进行 验证 。 这 一 功能 会 产生 一 些 安全 问题 ， 虽 然 此 时 客户 端 与 服务 器 之 间 的 通信 仍 
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然 是 加 密 的 ， 第 三 方 不 可 能 获得 双方 通信 的 内 容 ， 但 攻击 者 可 能 假冒 成 真正 的 服务 器 ， 
从 而 使 得 整个 系统 的 安全 都 受到 威胁 。 因 此 ， 在 系统 中 ， 应 尽量 避免 把 该 功能 设 为 默认 
配置 , 即 必须 尽 可 能 检验 主机 密 钥 , 使 用 验证 服务 器 正确 性 的 方法 , 例如 要 求 传送 SHA-1 
哈 希 算法 生成 的 主机 公 钥 的 MAC 值 等 。 

(2) 协议 版 本 协商 。 SSH 协议 运行 的 第 一 步 是 进行 服务 器 与 客户 端 协议 版 本 的 协商 。 
服务 器 会 打开 端口 22 与 客户 端 建立 TCP 连接 ， 之 后 发 送 的 包含 协议 版 本 号 的 TCP 报 文 
至 客户 端 ， 客 户 端 接收 报 文 并 解析 ， 之 后 返回 服务 器 一 个 包含 协议 版 本 号 的 报 文 。 如 果 
双方 的 版 本 号 不 同 ， 由 服务 器 决定 是 否 可 以 运行 ， 如 果 可 以 ， 则 双方 都 以 较 低 的 版 本 运 
行 。 如 果 攻 击 者 采用 有 安全 漏洞 的 版 本 建立 连接 ， 协 商 的 结果 是 采用 有 安全 漏洞 的 SSH 
协议 版 本 , 则 可 能 会 采取 进一步 的 攻击 。 所 以 在 SSH 协议 软件 的 配置 中 需 考虑 版 本 问题 ， 
对 于 采用 的 软件 版 本 有 安全 问题 的 通信 方 , 可 以 采用 中 断 TCP 连接 的 办 法 ,SSH 是 Client 
/Server 结构 ,并 且 有 两 个 不 兼容 的 版 本 , 分 别 是 1.x 和 2.x， 其 中 1.x 存在 许多 安全 问题 ， 
已 很 少 使 用 。 

(3) 主机 密 钥 文件 安全 。SSH 协议 在 工作 时 ， 服 务 器 的 主机 密 钥 存储 在 一 个 root 用 
户 可 读 的 主机 密 钥 文件 中 ， 如 果 该 文件 被 穷 取 或 算 改 ， 则 会 对 协议 的 认证 机 制造 成 严重 
威胁 。 攻 击 者 可 以 利用 有 效 的 主机 密 钥 实 施 一 系列 攻击 ， 如 假冒 攻击 、 重 放 攻 击 和 中 间 
人 攻击 等 。 因 此 ， 主 机 密 钥 文 件 必 须 用 非常 安全 的 机 制 进行 管理 。 

OpenSSH 是 SSH 的 替代 软件 , 其 源 代码 是 开放 的 ,而 且 是 免费 的 , 且 同时 支持 SSH 
Lx 和 2.x， 预 计 将 来 会 有 越 来 越 多 的 人 使 用 OpenSSH。 现 在 已 经 有 各 种 基于 Windows 
的 SSH 版 本 ， 这 些 版 本 的 功能 和 价格 各 不 相同 。PuTTY 是 一 个 不 错 的 免费 自由 软件 ， 
该 软件 不 需要 安装 就 可 以 运行 。 


3.4.5 DNS 协议 


1. 概述 

域名 系统 (Domain Name System，DNS) 是 一 个 分 布 式 数据 库 系 统 ， 用 来 实现 域名 
到 IP 地 址 或 IP 地 址 到 域名 的 映射 。 在 Internet 上 ， 域 名 与 IP 地 址 之 间 是 一 一 对 应 的 。 
域名 虽然 便于 人 们 记忆 , 但 机 器 之 间 只 能 通过 IP 地 址 互相 识别 ， 它 们 之 间 的 转换 工作 称 
为 域名 解析 ， 域 名 解析 的 工作 需要 由 专门 的 域名 解析 服务 器 来 自动 完成 。 域 名 解析 服务 
器 也 称 作 DNS 服务 器 ，DNS 服务 使 用 的 是 53 号 端口 。 


2. DNS 协议 的 安全 问题 及 防护 措施 

从 安全 的 角度 看 , DNS 存在 一 定 的 问题 。 在 正常 工作 模式 下 , 备份 服务 器 可 使 用 “区 
转移 ”来 获得 域名 空间 中 所 属 信息 的 完整 备份 ， 黑 客 也 常 使 用 这 种 方式 快速 获得 攻击 目 
标 列表 。 如 果 将 前 向 命名 和 后 向 命名 分 离 ， 则 可 能 会 带 来 安全 问题 ， 黑 客 若 能 够 掌控 部 
分 反 向 映射 树 ， 就 能 实施 欺骗 ， 也 就 是 说 ， 反 向 记录 中 可 能 含有 可 信赖 的 那 台 机 器 的 名 
称 〈 伪 造 )。 针 对 DNS 的 攻击 还 有 破坏 力 更 强 的 变种 ， 攻 击 者 在 发 起 呼叫 之 前 ， 会 扰乱 
目标 机 器 中 DNS 响应 的 高 速 缓存 , 当 目标 机 器 进行 交叉 检验 时 ,验证 结果 似乎 是 成 功 的 ， 
但 此 时 黑客 却 已 经 获得 了 访问 权 。 另 外 ， 黑 客 采用 呼叫 响应 的 方式 来 淹没 目标 的 DNS 
服务 器 ， 可 使 其 陷入 混乱 ， 此 类 攻击 案例 十 分 常见 ， 黑 客 只 需 用 非常 简单 的 程序 就 可 以 
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捣毁 DNS 的 高 速 缓存 。 

虽然 我 们 无 法 阻止 黑客 对 DNS 的 不 断 攻击 ， 但 是 可 以 通过 采取 相应 的 措施 加 以 控 
制 ， 如 可 以 对 授权 的 第 二 级 服务 器 限制 “区 转移 ”功能 的 使 用 。DNSsec 是 DNS 的 安全 
扩展 (Domain Name System Security Extensions), fH IETF 提供 的 一 系列 DNS 安全 认证 
机 制 组 成 , 它 可 以 对 DNS 记录 进行 数字 签名 , 是 消除 欺骗 性 DNS 记录 的 最 简便 的 方法 。 
当 某 个 区 的 所 有 者 有 不 良 动机 时 ，DNSsec 就 会 签署 一 个 欺骗 性 的 记录 , 进而 可 以 有 效 防 
止 此 类 欺骗 。 此 外 ， 对 域 的 签名 可 以 离线 进行 ， 从 而 降低 了 域 签名 私 钥 泄漏 的 风险 。 虽 
然 DNSsec 对 付 以 上 欺骗 攻击 很 有 效 ， 但 也 有 一 些 不 足 之 处 ， 所 以 它 迄 今 还 没有 成 为 主 
流 的 DNS 查询 方式 。 


3.4.6 SMTP 协议 


1. 概述 

E-mail 是 Internet 上 使 用 最 广泛 的 服务 之 一 。 尽 管 网 络 上 有 多 种 邮件 收发 服务 ， 但 
最 常用 的 就 是 简单 邮件 传输 协议 (Simple Mail Transfer Protocol, SMTP) [Klensin 2001]。 
SMTP 协议 属于 TCP/IP 协议 族 ，SMTP 服务 使 用 的 是 25 号 端口 。 

传统 SMTP 使 用 简单 的 协议 传输 7b ASCI 文本 字符 ，SMTP 会 话 样本 日 志 记录 如 
图 3-4 所 示 , 箭头 表明 数据 的 流向 。 它 还 有 一 种 扩展 形式 , WA ESMTP, 允许 扩展 协商 ， 
包括 8b 的 传输 。 这 样 ， 它 就 不 仅 能 够 传输 二 进 制 的 数据 ， 还 可 以 传输 非 ASCI 字符 集 。 
从 图 3-4 中 可 以 看 出 : 远 sales.mymegacorp.com 向 本 地 主机 fe.net 发 送 了 一 封 电子 
| <--- 220 tgnet sume S 
-=--> HELO sales.mymegacorp.com H 
| <--- 250 fg.net | 
MAIL FROM: Anthony.Stazzone@sales.mymegacorp.com H 
250 OK 
RCPT TO: <ferd.berfle@fg.net> 
250 OK 
DATA 
354 Start mail input; end with <CRLF>.<CRLF> 
From: A.Stazzone@sales.mymegacorp.com 


To: ferd.berfle@fg.net 
Date: Thu, 27 Jan 94 21:00:05 EST 











Meet you for lunch after | buy some power tools. 





---> Anthony 


<— 2500K H 
1 “mn,  Sales.mymegacorp.com! A.Stazzone sent 273 bytes to fg.net!ferd.berfle i 
1 一 > QUIT i 
<— 221 sales. mymegacorp.com Terminating 


图 3-4 SMTP 会 话 样本 日 志 记录 
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邮件 。 这 是 一 个 简单 的 协议 ， 网 络 管理 员 和 黑客 都 知道 如 何 使 用 这 些 命令 ， 他 们 可 以 手 
工 输入 这 些 命令 。 

注意 : 主 叫 方 在 MAIL FROM 命令 中 指明 了 一 个 返回 地 址 。 在 这 种 情况 下 ， 本 地 主 
机 没有 可 靠 的 办 法 来 验证 该 返回 地 址 的 正确 性 。 你 确实 不 知道 是 谁 用 SMTP 给 你 发 送 了 
邮件 。 如 果 你 需要 更 高 的 可 信 度 或 保密 性 ， 就 必须 使 用 更 高 级 的 安全 机 制 。 

一 个 组 织 机 构 至 少 需要 一 个 邮件 服务 器 。 内 部 网 络 用 户 的 邮件 服务 器 通常 设置 在 网 
关上 。 这 样 ， 内 部 的 管理 员 只 须 从 网 关上 的 邮件 服务 器 上 获得 他 们 的 邮件 。 此 网 关 能 
保证 外 出 的 邮件 头 部 符合 标准 。 如 果 本 地 的 邮件 服务 器 出 现 问题 ， 管 理 员 可 以 方便 、 及 
时 地 解决 邮件 服务 器 故障 。 

通过 采用 邮件 网 关 ， 公 司 内 部 的 每 个 人 都 可 以 有 一 个 单独 设立 的 邮箱 。 但 是 这 些 邮 
件 账户 列表 必须 严 加 保护 ， 以 防 被 人 窃取 而 成 为 黑客 攻击 的 目标 。 


2. SMTP 协议 的 安全 问题 及 防护 措施 

从 安全 的 角度 看 ， 基 本 的 SMTP 自身 是 完全 无 害 的 ， 但 是 它 可 能 成 为 拒绝 服务 攻击 
的 发 源 地 。 攻 击 者 可 以 采用 拒绝 服务 攻击 阻止 用 户 合法 使 用 该 邮件 服务 器 。 假 设 攻击 者 
能 控制 SO 台 机 器 , 每 台 机 器 都 向 邮件 服务 器 发 送 1000 个 IMB 大 小 的 邮件 , 恐怕 邮件 系 
统 很 难处 理 数量 如 此 之 多 的 邮件 。 

邮件 的 别名 有 时 也 会 给 黑客 提供 一 些 有 用 的 信息 。 像 下 面 的 一 些 命令 








VRFY <postmaster> 

VRFY <root> 
通常 可 以 把 邮件 别名 翻译 成 实际 的 登录 名 称 。 它 可 能 提供 一 些 关 于 谁 是 系统 管理 员 、 攻 
击 成 功 后 哪个 账户 最 有 价值 等 线索 。 这 些 信息 是 敏感 的 还 是 不 敏感 的 ， 完 全 是 安全 策略 
问题 。 

EXPN 子 命令 扩展 了 邮件 列表 的 别名 。 这 个 命令 存在 很 大 的 问题 ， 这 可 能 会 导致 机 
密 性 的 形 失 。 要 避免 这 种 风险 ， 一 种 有 用 的 做 法 是 将 暴露 的 邮件 服务 器 主机 的 别名 指向 
一 台 内 部 的 机 器 ， 这 人 台 机 器 从 外 部 是 不 可 达 的 ， 从 而 消除 这 种 扩展 所 带 来 的 风险 。 

不 管 运行 何 种 邮件 服务 程序 ， 应 该 将 其 配置 成 仅 接受 那些 要 么 来 自 你 的 网 络 中 的 邮 
件 ， 要 么 是 那些 发 给 你 的 用 户 的 邮件 。 所 谓 的 “开放 中 继 ”(Open Relay) 就 是 允许 在 任 
何人 之 间 进 行 邮件 传递 ， 这 是 非常 危险 的 。 许 多 网 站 都 拒绝 接收 那些 来 自己 知 “ 开 放 中 
继 ” 的 电子 邮件 。 

SMTP 攻击 者 (spammer) 寻找 SMTP 服务 器 是 为 了 传递 他 们 的 spam (垃圾 邮件 )。 
他 们 需要 连接 到 高 带宽 的 E-mail 服务 器 上 ， 将 简单 的 信息 传递 到 不 同 的 地 址 。SMTP 服 
Z CHE Sendmail) 是 入 侵 系 统 的 最 常用 方法 之 一 ， 因 为 它们 必须 完整 地 暴露 于 
Internet， 且 邮件 的 路 由 是 复杂 的 (暴露 + 复杂 = 弱点 )。 

如 果 想 支持 移动 用 户 ， 可 以 使 用 SMTP 认证 。 它 最 好 与 加 密 SMTP 会 话 结 合 起 来 使 
用 [Hoffman 2002]. SMTP 认证 的 主要 目的 是 要 避免 “开放 中 继 ” 的 存在 。 因 为 “开放 中 
继 ” 能 吸引 spammer， 并 导致 在 网 站 上 添加 一 条 reject all mail from this clowns 信息 。 这 











59 


mam 网络 安 全 一 一 技术 与 实践 (第 3 版 ) mm 


种 SMTP 的 用 法 有 时 被 称 为 “邮件 托付 ”(Mail Submission)， 以 便 与 更 通用 的 邮件 传输 
相 区 别 。 


3.4.7 MIME 协议 


1. 概述 

多 用 途 网 际 邮件 扩充 协议 (Multipurpose Internet E-mail Extension, MIME) 最 早 于 
1992 年 就 应 用 于 电子 邮件 系统 ， 后 来 也 用 于 浏览 器 。 服 务 器 通过 说 明 发 送 的 多 媒体 数据 
的 MIME 类 型 ， 来 告诉 浏览 器 该 多 媒体 数据 的 类 型 ， 从 而 让 浏览 器 知道 接收 到 的 哪些 信 
息 是 MP3 文件 ， 哪 些 是 Shockwave 文件 等 。 

2. MIME 协议 的 安全 问题 及 防护 措施 

当 MIME 应 用 于 浏览 器 时 ， 浏 览 器 收 到 文件 后 ， 会 进入 插件 系统 进行 查找 ， 查 出 哪 
种 插件 可 以 识别 并 打开 收 到 的 文件 。 如 果 浏 览 器 不 确定 调用 哪 种 插件 系统 ， 它 可 能 会 告 
诉 用 户 缺 少 某 插件 ， 或 者 直接 选择 现 有 的 某 个 插件 来 尝试 打开 收 到 的 文件 。 传 输 的 信息 
中 缺少 MIME 标识 可 能 导致 的 情况 很 难 估计 ， 因 为 某 些 计算 机 系统 可 能 不 会 出 现 故 障 ， 
但 某 些 计算 机 系统 可 能 会 因此 裔 省 。 

当 MIME 应 用 于 电子 邮件 系统 时 , 撤 开 邮件 客户 端 软件 的 缺陷 不 谈 , 自动 运行 MIME 
编码 消息 就 潜藏 着 巨大 的 风险 ， 因 为 这 些 消息 中 被 编码 的 结构 信息 能 够 指示 客户 端 软件 
要 采取 何 种 行动 。 

对 于 MIME 还 存在 一 种 分 段 攻 击 。 有 一 种 MIME 类 型 ， 它 允许 将 单个 电子 邮件 消息 
分 成 儿 段 。 如 果 消 息 的 分 段 做 得 很 巧妙 ， 就 可 以 用 来 逃避 基于 网 关 的 病毒 检测 。 当 然 ， 
如 果 邮 件 客户 端 软件 不 能 重组 这 些 分 段 的 消息 ， 这 种 攻击 也 是 无 效 的 ， 然 而 微软 的 
Outlook Express 确实 可 以 重组 这 些 分 段 的 消息 。 解 决 这 个 问题 有 两 种 方法 ， 一 是 在 网 关 
上 重组 这 些 消 息 ， 二 是 拒绝 那些 分 段 发 来 的 邮件 。 

MIME 存在 的 其 他 风险 包括 邮寄 可 执行 程序 和 含有 危险 动作 的 PostScript 文件 。 通 
过 电子 邮件 发 送 可 执行 程序 是 传播 蠕虫 和 病毒 的 主要 根源 。 当 然 ， 攻 击 者 也 可 能 通过 电 
子 邮 件 发 送 一 条 含有 伪造 的 “From:” 命 令 行 的 MIME 消息 。 许 多 流行 的 蠕虫 和 病毒 就 
是 采用 这 种 方式 传播 的 。 

上 述 这 些 问题 和 其 他 一 些 安全 问题 在 MIME 技术 文档 中 已 有 详细 说 明 。 但 是 ,很 多 
基于 Windows 系统 的 邮件 服务 器 几乎 都 忽视 了 这 些 建 议 。 


3.4.8 POP3 协议 


1. 概述 

邮局 协议 (Post Office Protocol, POP) 是 一 个 邮件 接收 协议 ， 它 的 第 3 个 版 本 称 为 
POP3。 它 规定 了 如 何 将 个 人 计算 机 连接 到 遵循 POP3 协议 的 接收 邮件 服务 器 并 下 载 电子 
邮件 ， 是 Internet 电子 邮件 的 第 一 个 离线 协议 标准 。 其 具体 过 程 是 : 电子 邮件 发 送 到 邮 
件 服务 器 ， 客 户 机 通过 邮件 客户 端 软件 连接 服务 器 ， 并 下 载 所 有 未 阅读 的 电子 邮件 ， 同 
时 删除 保存 在 邮件 服务 器 上 的 邮件 《目前 很 多 POP3 服务 器 在 邮件 被 下 载 后 ， 并 不 删除 
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邮件 )。 当 客户 机 长 时 间 保 持 在 线 时 ,邮件 客户 端 软件 会 每 隔 一 定 的 时 间 就 获取 一 次 新 的 
邮件 。POP3 服务 允许 用 户 设置 本 地 浏览 器 的 接收 /发 送 邮件 服务 器 名 称 ， 客 户 机 采用 
POP3 和 SMTP， 用 同一 个 或 不 同 的 邮件 服务 器 来 收发 电子 邮件 。 在 TCP/IP 中 ，POP3 
服务 采用 的 TCP 端口 号 为 110。 


2. POP3 协议 的 安全 问题 及 防护 措施 

POP3 非常 简单 ， 服 务 器 可 用 Perl 脚本 程序 非常 容易 地 实现 它 。 正 是 因为 它 简单 ， 
所 以 它 也 非常 不 安全 。 在 使 用 USER/PASS 组 合 的 旧版 本 中 ， 用 户 在 访问 邮箱 时 采用 的 
口令 是 以 明文 传输 的 ， 攻 击 者 很 容易 窃取 到 用 户 名 和 口令 ， 从 而 获取 用 户 邮箱 中 的 所 有 
邮件 。 最 近 开 发 的 邮件 客户 端 软件 采用 APOP 命令 来 收取 邮件 ,以 安全 地 传输 用 户口 令 。 
APOP 基于 口令 认证 中 常用 的 “挑战 /响应 ”机 制 ， 对 用 户 名 和 口令 进行 加 密 。 但 APOP 
对 邮件 内 容 不 作 保护 ， 即 使 得 不 到 用 户 名 和 口令 ， 攻 击 者 也 很 容易 窃取 到 以 明文 形式 传 
输 的 邮件 内 容 。 以 上 两 种 协议 均 将 口令 以 明文 形式 存储 在 服务 器 上 ， 一 旦 服务 器 遭 到 攻 
击 ， 则 可 能 造成 用 户 名 和 口令 的 泄露 。 此 外 ， 攻 击 者 也 可 能 对 认证 交换 的 口令 发 起 字典 
攻击 。 为 保障 邮件 安全 传输 ， 可 以 利用 SSL/TLS 协议 对 传输 的 数据 进行 加 密 。 目 前 ， 很 
多 站 点 支持 基于 SSL/TLS 的 POP3 服务 ， 但 有 些 客户 端 不 支持 这 一 服务 。 

如 果 邮 件 服务 器 运行 的 是 UNIX 操作 系统 ， 那 么 POPS 服务 器 软件 在 认证 结束 前 通 
常 以 root 用 户 权 限 运行 ， 用 户 必须 在 服务 器 上 开设 一 个 账号 。 其 实 这 很 不 利 : 一 方面 它 
增加 了 邮件 服务 器 的 管理 难度 ， 另 一 方面 意味 着 用 户 可 以 登录 到 邮件 服务 器 上 。 这 种 设 
计 思 想 非常 危险 ， 因 为 用 户 可 能 给 服务 器 带 来 非常 大 的 安全 风险 。 尽 管 如 此 ， 仍 然 可 以 
使 用 POP3 服务 器 收发 邮件 ， 但 要 保证 POP3 服务 器 仅 对 其 用 户 数据 库 和 电子 邮件 进行 
维护 。 


3.4.9 1IMAP4 协议 


1. 概述 

Internet 消息 访问 协议 CInternet Message Access Protocol, IMAP) 是 由 美国 华盛顿 大 
学 所 研发 的 一 种 邮件 获取 协议 ， 当 前 的 权威 定义 是 RFC3501。 它 的 主要 作用 是 邮件 客户 
端 (如 MS Outlook Express) 可 以 通过 这 种 协议 从 邮件 服务 器 上 获取 邮件 的 信息 并 下 载 
邮件 。 正 如 POP3 是 POP 的 第 3 个 版 本 一 样 ，IMAP4 是 IMAP 的 第 4 个 版 本 ， 它 提供 了 
E] POP3 一 样 方便 的 邮件 下 载 服务 ， 而 且 在 对 邮箱 的 访问 控制 功能 上 比 POP3 更 加 强大 。 
IMAP4 运行 在 TCP/IP 之 上 ， 使 用 的 端口 号 是 143. 

IMAP4 同样 提供 了 方便 的 邮件 下 载 服务 ， 让 用 户 能 进行 离线 阅读 ， 但 IMAP4 还 有 
其 他 一 些 功 能 。 首先，IMAP4 提供 的 摘要 浏览 功能 可 让 用 户 在 阅读 完 所 有 邮件 的 到 达 时 
间 、 主 题 、 发 件 人 、 大 小 等 信息 后 才 做 出 是 否 下 载 的 决定 其次， 用 户 还 可 以 享受 选择 
性 下 载 附件 服务 。 例 如 一 封 邮件 里 含有 5 个 附件 ， 用 户 可 以 选择 下 载 其 中 的 两 个 附件 ; 
第 三 ， 在 支持 离线 阅读 的 同时 ，IMAP4 既 允 许 用 户 把 邮件 存储 和 组 织 在 服务 器 上 ， 也 允 
许 用 户 把 邮箱 作为 信息 存储 工具 。 

IMAP4 协议 适用 于 C/S 构架 中 , IMAP4 协议 是 对 提供 邮件 访问 服务 且 使 用 广泛 的 
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POP3 协议 的 另 一 种 选择 ， 基 本 上 两 者 都 是 规定 个 人 计算 机 如 何 连接 到 互联 网 上 的 邮件 
服务 器 进行 收发 邮件 。IMAP4 协议 支持 对 服务 器 上 的 邮件 进行 扩展 性 操作 , IMAP4 也 支 
FF ASCI 码 明文 传输 密码 。 

与 POP3 不 同 的 是 ，IMAP4 能 支持 离线 和 在 线 两 种 模式 来 传输 数据 : 在 离线 方式 
中 ， 客 户 端 程序 会 不 间断 地 连接 服务 器 下 载 示 阅读 过 的 邮件 到 本 地 磁盘 ， 当 客户 端 需 要 
接收 或 者 发 送 邮 件 时 才 会 与 服务 器 建立 连接 ， 这 就 是 离线 访问 模式 。POP3 典型 地 以 离 
线 方式 工作 。@ 在 线 模式 中 ， 一 直 都 是 由 客户 端 程序 来 操作 服务 器 上 的 邮件 ， 不 需要 像 
离线 模式 那样 把 邮件 下 载 到 本 地 才能 阅读 〈 即 使 用 户 把 邮件 下 载 到 本 地 ， 服 务 器 上 也 会 
保存 一 份 副本 , 而 不 会 像 POP 协议 那样 把 邮件 删除 )。 用户 可 以 通过 客户 端 程序 或 者 Web 
在 线 浏览 邮件 。 一 些 POP3 服务 器 也 提供 了 在 线 功能 , 但是， 它们 没有 达到 IMAP4 的 浏 
览 功能 的 级 别 。 

IMAP4 是 分 布 式 存储 邮件 方式 ， 本 地 磁盘 上 的 邮件 状态 和 服务 器 上 的 邮件 状态 ， 可 
能 和 以 后 再 连接 时 不 一 样 。 此 时 ，IMAP4 的 分 布 式 存储 机 制 解决 了 这 个 问题 。IMAP4 
邮件 的 客户 端 软件 能 够 记录 用 户 在 本 地 的 操作 ， 当 连 上 网 络 后 会 把 这 些 操作 传送 给 服务 
器 。 当 用 户 离线 的 时 候 服务 器 端 发 生 的 事件 ， 服 务 器 也 会 告诉 客户 端 软件 ， 比 如 有 新 邮 
件 到 达 等 ， 以 保持 服务 器 和 客户 端的 同步 。 

IMAP4 协议 处 理 线程 都 处 于 4 种 处 理 状 态 的 其 中 一 种 。 大 部 分 的 IMAP4 命令 都 只 
会 在 某 种 处 理 状态 下 才 有 效 。 如 果 IMAP4 客户 端 软件 企图 在 不 恰当 的 状态 下 发 送 命令 ， 
则 服务 器 将 返回 协议 错误 的 失败 信息 ， 如 BAD 或 NO 等 。 

总 的 来 说 , IMAP4 同时 兼顾 POP3 和 WebMail 的 优点 , 是 当前 一 种 较 好 的 通信 协议 。 
目前 支持 IMAP4 的 免费 邮件 系统 并 不 多 ， 较 常见 的 有 777 免费 电子 邮箱 〈http: 
// mail.777.net.cn) 等 。 

IMAP4 使 用 户 可 以 对 服务 器 上 的 邮箱 进行 远程 访问 。 它 可 以 使 客户 机 和 服务 器 的 状 
态 同 步 ， 并 支持 多 重文 件 夹 。 如 同 POPS 一 样 ， 邮 件 仍然 通过 SMTP 发 送 。 

典型 的 UNIX IMAP4 服务 器 提供 了 与 POP3 服务 器 相同 的 访问 方式 ， 同 时 还 增加 
了 许多 功能 。 虽 然 POP3 服务 器 已 能 满足 用 户 的 需求 ， 但 是 IMAP4 服务 器 的 应 用 也 很 
有 潜力 。 

2. IMAP4 协议 的 安全 问题 及 防护 措施 

IMAP4 能 够 支持 一 些 认 证 方法 ， 并 且 有 些 方法 非常 安全 。 前 面 提 到 的 “挑战 /响应 ” 
机 制 很 有 有 用， 但 是 它 并 没有 达到 人 们 预期 的 安全 性 。 在 “挑战 /响应 ”机 制 中 使 用 了 一 个 
共享 的 秘密 ， 这 个 秘密 信息 必须 存储 在 服务 器 上 。 如 果 将 该 秘密 与 域 字符 串 进 行 杂 竣 运 
算 ， 这 对 消除 口令 的 等 值 性 可 能 会 更 有 利 。 

对 于 IMAP4 来 说 , 最 大 的 牺牲 是 协议 的 复杂 度 太 高 , 它 当然 也 需要 一 个 更 复杂 的 服 
务 器 。 如 果 该 服务 器 能 够 采用 小 而 简单 的 认证 模块 恰当 地 实现 ， 认 证 的 安全 性 将 会 得 到 
保障 。 但 是 ， 这 需要 对 服务 器 的 设计 进行 验证 。 
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3.4.10 PGP 协议 


1. 概述 

PGP (Pretty Good Privacy) 协议 是 常用 的 安全 电子 邮件 标准 之 一 。1991 4E, Phil 
Zimmermann 提出 PGP， 可 用 于 文本 、E-mail、 文 件 或 整个 磁盘 分 区 的 签署 或 加 密 ， 也 可 
用 于 提高 E-mail 通信 的 安全 性 。PGP 安全 体制 包括 5 种 服务 : 认证 、 保 密 、 压 缩 、 电 子 
邮件 兼容 性 和 分 段 。 详 细 描述 见 表 3-2。 


表 3-2 PGP 服务 概述 











功 能 使 用 算法 描述 
数字 签名 DSS/SHA 或 消息 的 Hash 码 利用 SHA-1 产生 ， 将 此 消息 摘要 和 消息 一 起 
= RSA/SHA 用 发 送 方 的 私 钥 按 DSS Bk RSA 加 密 


CAST 或 IDEA, 或 将 消息 用 发 送 方 生成 的 一 次 性 会 话 密 钥 按 CAST-128 或 IDEA 


消息 加 密 i 或 3DES 加 密 。 用 接收 方 公 钥 按 Diffie-Hellman 或 RSA 算法 
使 用 3DES 或 RSA | 加 密会 话 密 钥 ， 并 与 消息 一 起 加 密 

压缩 ZIP 消息 在 传送 或 存储 时 可 用 ZIP 压缩 

电子 邮件 兼 为 了 对 电子 邮件 应 用 提供 透明 性 ， 一 个 加 密 消 息 可 以 用 基数 

容 性 基数 64 转换 64 转换 为 ASCII 串 

分 段 一 为 了 符合 最 大 消息 尺寸 限制 ,PGP 执行 分 段 和 重新 组 装 








2. PGP 协议 的 安全 问题 及 防护 措施 

PGP 安全 电子 邮件 能 解决 邮件 的 加 密 传输 问题 ， 验 证 发 送 者 的 身份 验证 问题 ， 错 发 
用 户 的 收 件 无 效 问题 ， 因 而 得 到 广泛 应 用 。 但 PGP 仍然 存在 一 些 安全 问题 。 

(1) PGP 存在 公 钥 算 改 的 安全 问题 。 随 着 PGP 的 普及 ， 多 用 户 系 统 上 也 出 现 了 
PGP， 这 样 暴 露 明文 和 密 钥 或 口令 的 可 能 性 增 大 ， 公 钥 自 改 将 导致 使 用 的 公 钥 与 公 钥 持 
有 人 的 公 钥 不 一 致 ， 使 得 合法 通信 者 无 法 解密 文件 或 其 敌手 可 以 伪造 签名 。 所 以 ， 当 用 
户 使 用 别人 的 公 匙 时 ， 需 要 保证 它 是 直接 从 对 方 处 得 来 或 是 由 男 一 个 可 信 的 人 签名 认证 
过 的 。 同 时 ， 用 户 要 保持 对 自己 密 钥 环 文件 的 物理 控制 权 ， 确 信 没 有 人 可 以 自 改 自己 的 
公 匙 环 文件 。 

(2) PGP 签名 上 的 时 间 礁 不 可 人 和信。 任何 想 伪 造 一 个 “错误 ”时 间 蕉 的 人 都 可 以 通过 
修改 系统 时 间 达 到 目的 。 而 在 商业 上 有 利用 PGP 签名 的 时 间 来 确认 责任 的 需要 ,因此 有 
必要 建立 第 三 方 的 时 间 公 证 体系 ， 由 公证 方 在 邮件 上 签 上 标准 的 时 间 , 来 解决 PGP 时 间 
鹤 不 可 靠 的 问题 。 目 前 ， 对 时 间 可 靠 性 有 要 求 的 场合 ， 用 户 可 以 采用 国际 标准 时 间 蕉 协 
议 RFC3161 来 解决 。 

G) PGP 的 信任 模型 存在 缺陷 。 为 从 陌生 人 那里 得 到 有 效 的 公 钥 证 书 ，PGP 中 引入 
了 介绍 人 ， 却 同时 带 来 了 信任 问题 。 因 为 在 PGP 中 ,用 户 没有 任何 依据 来 判断 一 个 人 的 
信任 等 级 ， 只 能 通过 直觉 来 对 一 个 用 户 的 信任 度 进行 设置 ， 如 果 设 置 不 当 就 会 造成 安全 
隐患 。 另 外 ，PGP 缺乏 有 效 的 证 书 管理 体系 。 证 书 为 保证 公 钥 的 真实 性 提供 了 一 种 有 效 
机 制 ， 而 在 PGP 中 证 书 的 管理 完全 由 用 户 自己 来 完成 ， 错 误 的 信任 假设 和 管理 的 不 当 
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会 影响 到 PGP 的 安全 性 。 PGP 中 虽然 提供 了 吊销 证 书 的 功能 ， 却 没有 提供 任何 将 吊销 信 
息 通知 其 他 用 户 的 方式 , 用 户 使 用 被 吊销 的 证 书 是 件 很 危险 的 事情 , 很 有 可 能 造成 泄密 。 


3.4.11 FTP 协议 


1. 概述 

文件 传输 协议 (File Transfer Protocol, FTP) 是 TCP/IP 协议 族 中 的 重要 协议 之 一 ， 
CHE Internet 文件 传送 的 基础 。 简 单 地 说 ，FTP 就 是 完成 两 台 计 算 机 之 间 的 复制 。 若 将 
文件 从 远程 计算 机 复制 到 本 地 的 计算 机 ， 称 为 “下 载 ”(download) 文件 ， 反之， 则 称 为 
“上 传 (upload)” 文 件 。 FTP 标准 命令 采用 的 TCP 端口 号 为 21，Port 方式 数据 端口 为 20。 

客户 机 首先 使 用 FTP 命令 打开 一 条 通 往 服务 器 的 控制 通道 。 然 后 ， 服 务 器 与 客户 机 
之 间 可 以 通过 两 种 模式 打开 数据 通道 。 在 主动 (Port) 模式 中 ， 客 户 机 通过 PORT 命令 
将 一 个 随机 的 端口 号 通知 服务 器 , 服务 器 随后 通过 20 号 端口 呼叫 客户 机 的 指定 端口 建立 
数据 连接 。 在 被 动 (PASV) 模式 中 ， 客 户 机 向 服务 器 发 送 一 条 PASV 命令 ， 服 务 器 随机 
选择 一 个 端口 号 并 通知 客户 机 ， 从 而 建立 数据 连接 。 

2. FTP 协议 的 安全 问题 及 防护 措施 

(1) 使 用 PORT 命令 会 引起 一 系列 安全 问题 。 首 先 ， 主 动 模式 是 由 服务 器 主动 对 客 
户 机 进行 连接 。 一 旦 这 个 连接 受到 黑客 的 攻击 ， 那 么 防火 墙 无 法 对 其 作出 正确 的 处 理 。 
其 次 ， 使 用 PORT 命令 还 可 能 引起 FTP 反弹 攻击 (FTP Bounce Attack)。 由 于 客户 机 在 
PORT 命令 中 发 送 了 自己 的 耳 和 端口 号 ， 攻 击 者 能 够 对 该 客户 机 的 端口 进行 扫描 。 采 用 
这 种 攻击 方式 ， 攻 击 者 能 够 打开 一 条 通 往 任意 一 台 机 器 的 通道 。 

(2) 攻击 者 可 以 将 Java 程序 伪装 成 FTP 客户 机 从 而 发 动 攻击 。 例 如 ,假设 攻击 者 希 
望 连接 到 防火 墙 后 面 某 台 机 器 的 Telnet 端口 , 那么 他 会 设法 将 这 个 Java 程序 嵌入 到 目标 
Web 页 面 文件 中 。 当 有 人 在 该 站 点 上 运行 此 Java 程序 时 ， 它 就 会 打开 一 条 通 往 Web 页 
面 的 FTP 连接 。 只 要 伪装 的 FTP 客户 机 发 出 一 条 PORT 命令 , 指明 采用 23 号 端口 Telnet 
到 目标 主机 上 ， 此 时 防火 墙 就 会 打开 该 端口 。 

(3) 访问 FTP 服务 器 要 使 用 口令 登录 ， 但 是 该 口令 能 够 很 容易 地 被 探测 或 猜测 到 。 
在 运行 FTP 协议 时 ， 客 户 机 与 服务 器 之 间 的 消息 〈 包 括 口令 ) 是 以 明文 的 形式 传输 的 ， 
这 就 导致 了 泄露 口令 的 风险 。 

(4) 在 ftpd 守护 程序 中 ， 历 史上 存在 很 多 缺陷 ， 而 这 些 缺 陷 可 能 导致 严重 的 安全 漏 
洞 。 例 如 ，ftpd 守护 程序 开始 时 以 root 用 户 权限 运行 ， 但 它 不 能 在 登录 后 掩盖 其 特权 用 
户 身份 。 

对 于 以 上 安全 问题 ， 可 以 采取 一 些 防护 措施 。 为 了 避免 使 用 PORT 命令 造成 的 安全 
问题 ， 现 在 ，Internet 上 大 多 数 的 FTP 服务 器 和 主流 浏览 器 都 支持 PASV 命令 。 如果 FTP 
使 用 PASV 命令 ， 那 么 在 配置 防火 墙 的 安全 措施 时 ， 就 可 以 禁止 所 有 进入 的 TCP 连接 。 
除 此 之 外 ， 为 了 防止 泄露 口令 ， 可 以 使 用 密 文 来 传输 用 户 名 和 口令 。 
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3.4.12 TFTP 协议 


1. 概述 

简单 文件 传输 协议 (Trivial File Transfer Protocol, TFTP) 是 用 来 在 客户 机 与 服务 器 
之 间 进 行 简单 文件 传输 的 协议 ， 提 供 不 复 杂 、 开 销 不 大 的 文件 传输 服务 。TFTP 承载 在 
UDP 上 ， 提 供 不 可 靠 的 数据 流传 输 服 务 ， 不 提供 存 取 授权 与 认证 机 制 ， 使 用 超时 重 传 方 
式 来 保证 数据 的 到 达 。 与 FTP 相 比 ，TFTP 要 小 得 多 。 现 在 最 普遍 使 用 的 是 第 2 版 TFTP 
(TFTP Version 2, RFC 1350). TFTP 服务 使 用 UDP 69 端口 。 


2. TFTP 协议 的 安全 问题 及 防护 措施 

TFTP 协议 比较 简单 ， 因 为 它 只 提供 文件 传输 而 不 能 验证 文件 是 否 成 功 传送 。 由 于 
在 可 靠 性 与 安全 性 上 没有 保证 ， 所 以 它 的 应 用 没有 像 FTP 一 样 普及 。 不 过 由 于 它 不 用 消 
耗 太 多 的 网 络 资源 用 于 传输 数据 ， 所 以 TFTP 常用 于 一 些 对 连接 的 安全 性 要 求 不 高 的 场 
合 。 它 常用 于 启动 路 由 器 、 无 盘 工 作 站 、X11 终端 和 嵌入 式 设备 等 。 适 当 配置 TFTP sF 
护 程 序 ， 可 以 限制 客户 端 只 能 访问 服务 器 端的 一 个 或 两 个 目录 ， 这 两 个 目录 通常 为 
usr/local/boot 和 X11 字库 。 但 在 过 去 ， 许 多 厂商 发 布 的 TFTP 软件 并 不 限制 访问 服务 器 
端的 任何 目录 ， 黑 客 能 轻易 地 利用 它 从 事 非法 活动 。 下 面 就 是 黑客 实施 口令 破解 攻击 的 
一 个 实例 。 





$ tftp target.cs.boofhead.edu 
tftp> get /etc/passwd /tmp/passwd 
Received 1205 bytes in 0.5 seconds 
Tftp> quit 

$crack </tmp/passwd 


我 们 知道 , 现在 网 络 上 存在 很 多 用 来 进行 口令 破解 的 “字典 ”如 果 采 用 一 个 普通 字 
典 猜 对 口令 的 概率 是 25%， 那 么 攻击 者 就 很 容易 攻破 一 台 机 器 。 同 时 ， 与 该 机 器 相连 的 
其 他 机 器 也 难 逃 厄运 。 因 此 ， 除 非 真 的 需要 此 协议 ， 否 则 不 应 该 在 任何 机 器 上 运行 该 协 
议 。 如 果 所 使 用 的 机 器 上 确实 已 经 安装 了 此 协议 ， 则 应 确保 对 它 进行 正确 配置 ， 只 允许 
那些 符合 访问 控制 策略 的 文件 进行 传送 。 很 多 路 由 器 〈 特 别 是 低 端的 路 由 器 ) 都 使 用 
TFTP 上 传 可 执行 的 映像 文件 或 配置 文件 。 上 传 配置 文件 特别 危险 ， 因 为 精明 的 黑客 可 
能 上 传 伪造 的 文件 (即使 伪造 文件 很 困难 ), 并 通过 配置 文件 中 所 包含 的 口令 对 系统 发 起 
攻击 。 因 为 TFTP 的 安全 问题 ， 所 以 即便 用 TFTP 也 往往 只 开放 其 下 载 权 限 而 不 分 配 上 
传 权限 。 


3.4.13 NFS 协议 


1. 概述 

NFS (Network File System) 即 网 络 文件 系统 ， 是 一 个 基于 TCP/IP 网 络 的 文件 共享 
协议 。NFS 协议 允许 一 个 系统 在 网 络 上 与 他 人 共享 目录 和 文件 。 通 过 使 用 NFS 协议 , 用 
户 和 程序 可 以 像 访 问 本 地 文件 一 样 访 问 远 端 系统 上 的 文件 ， 在 远 端 系统 的 共享 磁盘 上 进 
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行 诸如 修改 、 删 除 和 创建 文件 操作 。NES 协议 采用 基于 远程 过 程 调用 RPC) 的 分 布 式 
文件 系统 结构 ， 客 户 机 可 以 很 方便 地 请 求 服务 器 系统 的 远程 执行 。 目 前 ，RPC 已 经 得 到 
很 多 操作 系统 的 支持 ， 包 括 Solaris, Linux 及 Microsoft Windows. 

2. NFS 协议 的 安全 问题 及 防护 措施 

(1) NFS 没有 用 户 验证 机 制 ， 只 验证 RPC/Mount (句柄 加 载 ) 请 求 。NFS 协议 采用 
的 基本 工具 是 文件 句柄 。 文 件 句柄 是 一 个 能 够 识别 磁盘 上 所 有 文件 和 目录 的 独特 字符 
串 。 所 有 的 NFS 请 求 都 使 用 文件 句柄 、 操 作 和 与 此 操作 有 关 的 一 些 参数 加 以 描述 。 大 
多 数 文件 句柄 中 还 包含 一 个 随机 数 ， 由 伪 随 机 数 生成 器 产生 (有 些 旧 版 本 的 NFS 所 使 用 
的 随机 数 的 随机 性 不 足 ， 因 此 种 子 密 钥 是 可 预测 的 )。 文 件 系统 根 目 录 (Root Directory) 
的 初始 句柄 在 加 载 (mount) 时 获得 。 任意 一 台 持 有 根 文 件 句柄 的 客户 机 都 具有 访问 该 文 
件 系统 的 永久 权限 ， 然 而 服务 器 并 没有 对 每 次 操作 都 强制 验证 客户 端的 访问 控制 权限 。 
EE, NFS 这 种 基于 加 载 的 访问 控制 是 非常 不 恰当 的 。 

(2) NFS 服务 器 使 用 的 2049 端口 号 在 选择 上 存在 问题 。 该 端口 号 处 于 “无 特权 的 ” 
范围 内 ， 而 该 范围 的 端口 一 般 应 该 分 配给 那些 普通 的 进程 。 因 此 ， 必 须 对 包 过 滤器 做 适 
当 配 置 ， 以 阻止 UDP 会 话 访问 2049 号 端口 。 还 有 些 版 本 的 NFS 使 用 了 随机 的 端口 ， 采 
用 rpcbind 提供 地 址 信息 。 

(3) NFS 恶意 客户 机 可 对 服务 器 实施 拒绝 服务 攻击 。 某 个 具有 访问 服务 器 优先 权 或 
能 伪造 返回 数据 包 的 客户 机 ， 有 可 能 创建 一 个 setuid 程序 或 创建 一 个 设备 文件 。 它 会 不 
停 地 取消 或 打开 它 与 服务 器 的 连接 ， 从 而 影响 到 其 他 客户 机 对 服务 器 的 正常 访问 。 有 些 
NES 客户 端 含有 禁止 这 种 行为 的 选项 ,如 果 你 的 客户 机 从 不 可 信 的 资源 加 载 了 文件 系统 ， 
切记 要 利用 这 些 选项 。 

(4) NFS 服务 器 可 对 客户 机 植 入 可 以 程序 。 通 过 NFS 浏览 文档 时 , 会 出 现 一 个 更 加 
敏感 的 问题 。 对 于 服务 器 来 说 ， 要 在 客户 机 上 植 入 某 种 恶意 的 程序 (如 ls) 非 常 容易 ， 
这 种 程序 很 可 能 用 于 某 些 非法 操作 。 对 于 客户 机 来 说 ， 最 佳 的 防护 是 对 所 有 外 来 的 文件 
进行 检查 ， 删 除 那些 可 执行 的 代码 。 


3.4.14 SNMP 协议 


1. 概述 

简单 网 络 管理 协议 (Simple Network Management Protocol, SNMP) 是 为 了 解决 
Internet 上 的 路 由 管理 问题 而 提出 ,被 应 用 于 支持 网 络 管理 系统 ， 以 监测 连接 到 网 络 上 的 
设备 是 否 有 任何 引起 管理 上 关注 的 情况 。 简 单 网 络 管理 协议 模型 由 4 部 分 组 成 : 管理 节 
点 、 管 理 站 、 管 理 信息 库 和 管理 协议 。SNMP 协议 的 应 用 范围 非常 广泛 ， 被 应 用 于 诸多 
种 类 的 网 络 设备 、 软 件 和 系统 中 ， 并 被 认为 是 网 络 设备 厂商 、 应 用 软件 开发 者 及 终端 用 
户 的 首选 管理 协议 。SNMP 的 主要 作用 是 控制 路 由 器 、 网 桥 及 其 他 网 络 单元 ， 用 来 读 / 
写 各 种 设备 信息 ,如 操作 系统 、 版本、 路 由 表 、 默 认 的 TTL、 流量 统计 、 接口 名 称 和 ARP 
映射 表 等 ， 其 中 有 些 信 息 是 非常 敏感 的 。 例 如 ， 出 于 商业 原因 ， 许 多 ISP 会 对 其 流量 统 
计 信 息 严 加 保护 。 
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2. SNMP 协议 的 安全 问题 及 防护 措施 

SNMP 协议 已 有 3 个 版 本 ,分 别 为 SNMPv1、v2、v3。SNMPv1、v2 的 安全 性 问题 
主要 为 : 

(1) SNMPv1、v2 中 ， 因 其 代理 可 被 多 个 管理 站 管理 ， 被 管 设 备 鉴 别管 理 站 合法 性 
是 通过 团体 名 和 源 地 址 检查 实现 的 ， 团 体 名 为 固定 长 度 字符 串 ， 因 而 容易 被 攻击 者 采 上 
穷 举 等 办 法 破解 ; 

(2) SNMP 数据 被 封装 在 UDP 中 传输 ,攻击 者 通过 嗅 探 监 昕 ,捕获 管理 站 与 被 管 设 
备 之 间 交 互信 息 ， 即 可 获得 SNMP 消息 中 的 明文 团体 名 ; 

G) 攻击 者 通过 嗅 探 监听 截获 管理 站 发 往 被 管 系统 的 管理 消息 后 ， 通 过 对 消息 数据 
恶意 重组 、 延 迟 和 重 放 即 可 实现 对 被 管 设备 的 攻击 凸 。 

与 SNMP v1、v2 相 比 ，SNMP v3 具有 更 高 的 安全 性 ， 如 增加 了 密码 学 的 认证 方式 ， 
可 选择 加 密 算法 。 最 重要 的 是 ， 它 给 不 同 用 户 授予 了 访问 MIB 的 不 同 权限 。 但 采用 密码 
认证 可 能 要 耗费 系统 资源 ， 而 路 由 器 CPU 的 计算 能 力 通常 比较 弱 ， 也 带 来 了 很 大 制约 。 

SNMPv1、v2 由 于 缺少 鉴别 和 加 密 机 制 ， 通 常 采 用 如 下 防护 措施 : 

(1) 在 不 必要 情况 下 关闭 SNMP 代理 ， 不 提供 SNMP 服务 中， 

(2) 修改 设备 缺失 的 团体 名 ， 设 置 为 相对 复杂 的 SNMP 团体 名 ; 

(3) 管理 站 IP 地 址 限定 ， 只 有 SNMP 管理 站 的 IP 地 址 可 以 发 起 SNMP 请 求 ; 

(4) 设置 访问 控制 ， 限 制 被 管 设备 利用 TFTP, FTP 和 RCP 等 方式 下 载 上 传 文件 。 

SNMPv3 的 认证 和 加 密 机 制 完善 ， 攻 击 者 难以 通过 截取 数据 包 获 取信 息 ， 或 进行 加 
工 重 放 攻 击 ， 安 全 性 较 好 。 但 大 量 的 加 解密 运算 会 占用 大 量 的 CPU 和 内 存 , 使 其 推广 使 
用 受到 限制 。 


3.4.15 DHCP 协议 


1. 概述 

动态 主机 配置 协议 (Dynamic Host Configuration Protocol, DHCP) 用 来 分 配 IP 地 址 ， 
并 提供 启动 计算 机 或 唤醒 一 个 新 网 络 ) 的 其 他 信息 。 处 于 启动 状态 的 客户 机 发 送 UDP 
广播 数据 包 ， 服 务 器 会 对 查询 做 出 响应 。 这 些 查询 信息 可 以 使 用 中 继 程 序 向 前 传递 到 其 
他 网 络 。 服 务 器 会 给 主机 分 配 一 个 固定 的 他 地 址 。 

DHCP 提供 了 一 种 动态 指定 IP 地 址 和 配置 参数 的 机 制 , 这 主要 用 于 大 型 网 络 环境 和 
配置 比较 困难 的 情况 。 DHCP 的 配置 参数 使 得 网 络 上 的 计算 机 通信 变 得 方便 上 且 容 易 实现 。 
DHCP 使 用 户 可 以 租用 IP 地 址 ， 对 于 拥有 成 百 上 千 台 计算 机 的 大 型 网 络 来 说 ， 每 台 计算 
机 拥有 一 个 IP 地 址 有 时 是 不 必要 的 。IP 地 址 采用 “租约 ”的 方式 ， 租 期 从 1 分 钟 到 100 
年 不 定 。 当 租 期 已 满 时 ， 服 务 器 可 以 把 这 个 P 地 址 分 配给 其 他 机 器 使 用 。 当 然 ， 客 户 也 
可 以 请 求 使 用 自己 喜欢 的 网 络 地 址 及 相应 的 配置 参数 。 

DHCP 能 够 提供 大 量 的 信息 一 一 域名 服务 器 地 址 、 默 认 的 路 由 地 址 、 默 认 的 域名 及 
客户 机 的 IP 地 址 ， 许 多 应 用 都 将 使 用 这 些 信 息 。 它 还 可 以 提供 其 他 一 些 设备 地 址 ， 如 网 
络 时 间 服 务 器 的 地 址 等 。 

DHCP 服务 器 能 对 IP 地 址 提供 集中 化 的 管理 ， 简 化 了 管理 任务 。 动 态 IP 地 址 分 配 
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MER TARH UP 地 址 使 用 空间 。 它 可 以 很 容易 地 为 便携 式 计算 机 分 配 卫 地 址 。 例 如 ， 
人 们 在 咖啡 馆 或 机 场 候 机 厅 无 线 上 网 时 ， 就 必须 使 用 这 个 协议 。 


2. DHCP 协议 的 安全 问题 及 防护 措施 

处 于 安全 性 的 考虑 ， 此 协议 只 能 在 本 地 网 络 上 使 用 。 这 是 因为 ， 启 动 状态 的 主机 尚 
不 知道 自身 的 IP 地 址 , 所 以 DHCP 服务 器 必须 将 查询 响应 传送 到 它 的 第 二 层 地 址 , 即 它 
的 以 太 网 地 址 。 要 做 到 这 一 点 ，DHCP 服务 器 要 么 在 自己 的 ARP 表 添 加 一 个 映射 要么 
发 送 一 个 纯 第 二 层 的 数据 包 给 客户 机 。 总 之 ，DHCP 服务 器 和 客户 机 均 需 要 直接 接 入 本 
地 网 络 。 由 于 远程 的 攻击 者 无 法 接 入 本 地 网 络 ， 因 此 也 无 法 对 DHCP 服务 器 发 起 远程 
攻击 。 
































于 DHCP 服务 器 通常 没有 对 查询 信息 进行 认证 ， 所 以 查询 响应 容易 受到 中 间 人 攻 
击 和 拒绝 服务 (DoS) 攻击 。 但 是 ， 如 果 攻 击 者 已 经 接 入 到 本 地 网 络 ， 那 么 他 就 可 以 发 
动 ARP 欺骗 攻击 。 既 然 远程 攻击 者 接 入 本 地 网 络 的 可 能 性 不 大 ， 这 就 意味 着 运行 DHCP 
带 来 的 风险 并 不 大 。 当 DHCP 服务 器 与 DNS 服务 器 接口 时 ， 需 要 建立 一 条 从 DHCP 服 
务 器 到 DNS 服务 器 的 安全 连接 ， 这 通常 采用 对 称 密 钥 加 密 算法 生成 SIG 签名 记录 来 实 
现 。 考 虑 到 DHCP 客户 端的 IP 地 址 包含 在 DHCP 审核 记录 日 志 里 ， 这 就 提供 了 对 拒绝 
服务 攻击 源 进 行 跟踪 的 能 力 。 因 此 ，DHCP 日 志 可 以 用 作法 庭 上 的 重要 证 据 。 在 进行 
地 址 动态 分 配 的 时 候 ， 需 要 知道 在 某 个 给 定 的 时 刻 ， 哪 个 硬件 设备 使 用 了 哪个 IP 地址， 
而 日 志 中 所 记录 的 以 太 网 地 址 是 非常 有 用 的 。 当 计算 机 犯罪 事件 发 生 时 ， 网 警 将 会 设法 
取得 ISP 的 DHCP 日 志 进 行 分 析 ， 并 取得 相应 的 以 太 网 地 址 。 

此 外 ,攻击 者 可 用 假冒 的 DHCP 服务 器 压制 合法 的 DHCP 服务 器 ， 对 查询 提供 响应 
并 导致 各 种 类 型 的 攻击 。 这 些 假冒 的 服务 器 会 模仿 不 同 的 以 太 地 址 向 合法 的 服务 器 发 出 
大 量 请 求 。 合 法 的 服务 器 就 会 被 这 些 查 询 请 求 淹没 ， 全 部 可 用 的 IP 地 址 会 被 消耗 至 尽 。 
所 以 ， 需 要 确保 未 经 授权 的 人 员 没 有 对 网 络 进行 物理 访问 或 无 线 访问 的 权限 ， 限 制 管理 
组 的 成 员 身 份 ， 将 管理 服务 器 所 必需 的 用 户 减 少 到 最 小 数量 。 


3.4.16 H.323 协议 


1. 概述 

H.323 是 由 ITU-T 于 1996 年 提出 的 用 于 VoIP (Voice over Internet Protocol, {4 IP 
电话 ) 的 一 套 标准 ， 为 分 组 网 提供 实时 音频 、 视 频 和 数据 通信 的 标准 ， 为 语音 通信 、 视 
频 通信 、 传 真 及 其 他 数据 业务 提供 支持 。 该 标准 详细 描述 了 用 于 包 交 换 网 络 的 多 媒体 通 
信 系 统 及 其 组 成 单元 ， 并 规定 了 各 单元 之 间 的 通信 过 程 。 由 于 H.323 标准 的 工作 方式 符 
合 VoIP 技术 的 要 求 和 标准 ， 并 具有 灵活 性 高 、 兼 容 性 好 、 资 源 需 求 少 等 优势 ， 已 逐步 发 
展 为 目前 在 分 组 网 上 支持 语音 、 图 像 和 数据 业务 最 成 熟 、 应 用 最 广泛 的 VoIP 标准 。 


2. H.323 协议 的 安全 问题 及 防护 措施 

虽然 基于 H.323 标准 的 VoIP 产品 在 互联 网 上 得 到 广泛 应 用 , 但 是 其 在 安全 性 方面 却 
存在 不 少 隐患 。 由 于 H.323 会 话 的 建立 需要 经 过 若干 步骤 ， 由 各 个 组 件 相互 配合 共同 完 
成 ， 因 此 在 其 通信 的 某 些 阶段 留 下 安全 隐患 。 另 外 ， 考 虑 到 H.323 产品 组 件 具体 实现 的 
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不 同 ， 其 所 拥有 的 系统 资源 、 处 理 错误 输入 的 机 制 也 有 所 不 同 ， 也 导致 了 某 些 安全 问题 。 
目前 H.323 的 主要 安全 隐患 有 拒绝 服务 、 注 册 劫 持 和 会 话 中 断 等 。 

A) 拒绝 服务 。 在 H.323 产品 的 通信 过 程 中 ， 需 要 终端 开放 特定 端口 时 刻 处 于 监听 
状态 ， 因 此 给 拒绝 服务 攻击 创造 了 条 件 ， 恶 意 用 户 可 向 某 一 目标 终端 大 量 、 密 集 地 发 送 
数据 包 ， 导 致 该 终端 的 资源 耗 尽 而 无 法 响应 其 他 合法 用 户 。 

(2) 注册 支持 。 攻 击 者 在 终端 注册 环节 抓 包 截取 被 冒 用 用 户 的 标识 信息 ， 再 向 网 关 
发 送 “ 取 消 注 册 ” 消 息 解 除 合法 用 户 的 注册 ， 最 后 使 用 窃取 到 的 标识 信息 向 网 关 进 行 注 
册 ， 冒 用 该 用 户 的 身份 。 

(3) 会 话 中 断 。 由 于 终端 之 间 用 于 会 话 控制 和 管理 的 相关 指令 以 明文 传送 ， 并 且 不 
对 消息 的 来 源 进行 过 多 的 确认 , 因此 攻击 者 可 以 通过 抓 包 获取 终端 标识 及 其 他 有 用 信息 ， 
填 入 自己 伪造 的 结束 会 话 命令 构造 攻击 数据 包 ， 强 制 中 断 合 法 用 户 的 会 话 。 

为 保证 H.323 的 安全 性 ，ITU-T 提出 了 H.325 建议 ， 为 协议 制订 了 认证 、 保 密 性 和 
完整 性 的 安全 体系 。 如 通过 口令 和 对 称 加 密 认 证 算法 来 进行 身份 认证 和 完整 性 检查 ， 通 
过 IPSec 安全 隧道 保证 呼叫 信 令 安全 ， 使 用 协商 的 密 钥 进 行 加 密 ， 避 免 语 言 窃听 和 语音 
干扰 等 。 

3.4.17 SIP 协议 


1. 概述 

会 话 启 动 协议 〈Session Initiation Protocol, SIP) 是 一 个 复杂 通信 协议 ， 它 是 由 IETF 
制定 的 基于 文本 编码 的 多 媒体 通信 协议 。 会 话 主 叫 方 使 用 SIP 协议 定位 IP 网 络 上 的 被 叫 
方 ， 用 于 建立 、 修 改 并 终止 一 个 或 多 个 参与 者 的 多 媒体 会 话 。 它 使 用 户 的 通信 系统 更 加 
开放 ， 使 用 更 加 便捷 ， 选 择 更 加 多 样 ， 也 更 为 个 性 化 。 

SIP 虽然 很 复杂 ， 但 与 H.323 相 比 却 要 简单 得 多 。 它 采用 ASCII 对 消息 编码 ， 语 法 
上 很 像 HTTP。 它 甚至 可 以 使 用 MIME 和 S/MIME 数据 类 型 进行 数据 传输 。 

SIP 电话 可 以 是 实体 到 实体 (peer-to-peer) 的 ， 但 它 也 有 像 H.323 一 样 的 代理 程序 。 
尽管 实际 的 数据 直接 在 两 个 (或 多 个 ) 端点 之 间 传 输 ， 但 这 些 代理 可 以 简化 SIP 电话 穿 过 
防火 墙 的 进程 。SIP 也 提供 了 很 强 的 安全 性 ， 也 许 正 因为 安全 性 太 好 ， 在 某 些 情况 下 ， 它 会 
对 应 用 级 网 关 防 火 墙 重 写 消息 造成 干扰 ， 使 语音 数据 流 不 容易 穿 过 应 用 级 网 关 防 火 墙 。 

2. SIP 协议 的 安全 问题 及 防护 措施 

SIP 实体 主要 由 4 部 分 组 成 : SIP 用 户 代理 (User Agent, UA). SIP 注册 服务 器 
(Register Server), SIP 代理 服务 器 (Proxy Server) 和 SIP 重 定 向 服务 器 (Redirect Server). 
于 SIP 协议 采用 文本 形式 表示 消息 的 词法 和 语法 ， 对 文本 形式 的 分 析 比 较 简单 ， 使 得 
SIP 会 话 容易 遭受 安全 问题 ， 包 括 欺 骗 、 会 话 截获 和 窃听 等 问题 。 目 前 ，SIP 协议 存在 的 
安全 隐患 主要 有 以 下 儿 方 面 。 

CL) 注册 劫持 。 当 用 户 在 终端 将 自己 的 信息 注册 到 某 个 注册 服务 器 上 ， 注 册 服务 器 
可 根据 字段 找到 该 用 户 地 址 , 并 从 From 字段 确定 消息 能 否 修改 用 户 的 注册 地 址 .但 From 
字段 有 可 能 被 UA 拥有 者 修改 ， 使 得 恶意 修改 注册 信息 成 为 可 能 。 
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(2) 伪装 服务 器 。 恶 意 攻击 者 将 自己 伪装 成 远 端 服 务 器 ， 使 得 用 户 代 理 终 端 UA 错 
误 地 被 截获 。 

(3) 算 改 消息 。 算 改 消息 分 为 算 改 SIP 消息 体 和 算 改 SIP 消息 头 字段 两 种 。 算 改 SP 
消息 体 是 指 攻击 者 修改 SIP 消息 的 加 密 密 钥 ， 一 旦 注册 服务 器 有 恶意 存在 ， 就 可 以 像 中 
间 人 一 样 修改 会 话 密 钥 ， 从 而 破坏 原始 请 求 UA 安全 。 同 时 ， 为 了 保护 一 些 重要 的 SIP 消 
息 头 字 段 ，UA 要 加 密 SIP 包 体 ， 并 对 端 到 端 之 间 的 头 字 段 做 限制 ， 防 止 攻 击 者 的 算 改 。 

(4) 恶意 修改 或 结束 对 话 。 攻 击 者 伪造 BYE 请 求 结束 对 话 ， 使 得 会 话 被 提前 结束 。 

(5) 拒绝 服务 。 攻 击 者 通过 转发 网 路 通讯 堵塞 网 络 接口 ， 使 得 某 个 特定 的 网 络 节点 
不 能 正常 工作 。 

针对 以 上 的 安全 隐患，SIP 协议 制定 了 安全 策略 以 保证 信息 的 保密 性 和 完整 性 。 

(1) 网 络 层 和 传输 层 的 安全 保护 。 利 用 网 络 层 PSec、 传 输 层 TLS 等 加 密 SIP 消息 ， 
传输 过 程 中 通过 TLS 套 接 口 ， 保 证 消息 的 可 靠 性 和 机 密 性 。 

(2) HTTP 摘要 认证 。SIP 协议 常 采 用 HTTP 摘要 认证 机 制 完成 身份 的 认证 ，HTTP 
摘要 认证 可 由 唯一 确定 的 用 户 名 及 密码 认证 一 个 用 户 ， 其 认证 机 制 主要 有 Proxy-to-User 
和 User-to-User 两 种 模式 。 

G) 应 用 层 端 到 端 加 密 。SIP 协议 利用 PGP 加 密 方式 和 S/MIME 加 密 方式 来 完成 应 
用 层 端 到 端的 加 密 ， 实 现 数字 签名 、 鉴 别 以 及 保密 的 功能 。 


3.4.18 NTP 协议 


1. 概述 

网 络 时 间 协 议 (Network Time Protocol, NTP) 是 用 来 在 分 布 式 时 间 服 务 器 和 客户 端 
之 间 进 行 时 间 同 步 ， 使 网 络 内 所 有 设备 的 时 钟 保持 一 致 ， 从 而 使 设备 能 够 提供 基于 统一 
时 间 的 多 种 应 用 。NTP 基于 UDP 报 文 进行 传输 ， 使 用 的 UDP 端口 号 为 123。 该 协议 是 
依然 运行 在 当前 网 络 环境 中 最 古老 的 协议 之 一 ， 截 至 2016 年 ， 协 议 最 新 的 版 本 NTPv4 
已 经 被 收录 在 RFC 5905 中 。 

NTP 主要 应 用 于 需要 网 络 中 所 有 设备 时 钟 保持 一 致 的 场合 ， 例 如 : 

(1) 在 网 络 管理 中 ， 对 于 从 不 同 设备 采集 来 的 日 志 信息 、 调 试 信息 进行 分 析 的 时 候 ， 
需要 一 个 统一 的 时 间作 为 参照 依据 。 

(2) 计 费 系统 要 求 所 有 设备 的 时 钟 保持 一 致 。 

(3) 定时 重启 网 络 中 的 所 有 设备 时 ， 要 求 所 有 设备 的 时 钟 保持 一 致 。 

(4) 多 个 系统 协同 处 理 同 一 个 比较 复杂 的 事件 时 ， 为 保证 正确 的 执行 顺序 ， 多 个 系 
统 必 须 参考 同一 时 钟 。 

(5) 在 备份 服务 器 和 客户 端 之 间 进 行 增 量 备份 时 ， 要 求 备 份 服务 器 和 所 有 客户 端 之 
间 的 时 钟 保持 一 致 。 

2. NTP 协议 的 安全 问题 及 防护 措施 

NTP 协议 是 横 跨 多 系统 平台 的 基础 网 络 协 议 , NTP 协议 的 安全 对 系统 应 用 的 安全 有 
着 重要 的 影响 。 一旦 NTP 服务 失效 , 需要 时 间 同 步 的 相应 系统 服务 都 会 失败 。 因 此 NTP 
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服务 器 自身 可 能 成 为 各 种 攻击 的 目标 。 一旦 NTP 服务 器 受到 攻击 , 通过 该 服务 器 获取 时 
间 同 步 的 系统 应 用 都 会 受到 影响 。 除 此 之 外 ，NTP 也 常常 作为 其 他 网 络 攻击 手段 的 重要 
辅助 手段 之 一 。 常 见 的 攻击 手段 有 以 下 几 种 : 

C1) 针对 TLS/SSL 协议 ， 攻 击 者 会 考虑 利用 NTP 协议 ， 修 改 被 攻击 者 的 系统 时 间 ， 
以 此 将 过 期 证 书 或 已 撤销 证 书 变 为 有 效 证 书 ， 达 到 欺骗 目的 。 

(2) 针对 DNS 服务 器 ,攻击 者 利用 NTP 协议 ， 修 改 被 攻击 设备 的 系统 时 间 ， 造 成 
所 有 连接 DNSSEC 服务 器 的 用 户 密 钥 和 签名 失效 , 破坏 DNS 服务 。 除 此 之 外 , 针对 DNS 
服务 器 缓存 存储 域名 的 时 间 周 期 为 24 小 时 的 特点 ,通过 大 范围 的 NTP 失 效 迫 使 大 量 DNS 
服务 器 同时 刷新 缓存 ， 引 发 网 络 洪 泛 攻击 。 

(3) 针对 认证 服务 ， 通 常 认 证 服务 需要 认证 信息 携带 时 间 戳 以 防止 重 放 攻击 ， 然 而 
利用 NTP 协议 攻击 ， 能 够 绕 过 时 间 戳 检验 ， 达 到 发 动 重 放 攻 击 的 目的 。 

(4) 利用 NTP 服务 器 收 到 monlist 请 求 后 最 多 会 返回 100 个 响应 包 的 特性 ， 攻 击 者 
伪造 受害 主机 的 IP 地址 向 NTP 服务 器 不 断 发 送 monlist 请 求 ， 以 此 利用 NTP 服务 器 向 
受害 主机 返回 大 量 的 数据 包 从 而 造成 其 网 络 拥塞 ， 达 到 DDoS 攻击 特定 目标 的 目的 。 

为 了 抵御 这 些 攻击 , 新 版 本 的 NTP 服务 器 软件 能 采用 密码 技术 对 消息 进行 认证 ， 以 
减少 NTP 协议 被 非法 利用 的 可 能 性 。 尽 管 这 一 功能 非常 有 用 ， 但 所 达到 的 效果 却 不 尽 如 
人 意 。 攻击 者 即使 不 能 与 NTP 守护 程序 直接 对 话 , 仍然 可 以 扰乱 服务 器 的 守护 程序 以 阻 
止 获取 正确 的 时 钟 。 换 言 之 ， 要 达到 安全 的 目的 ，NTP 服务 器 就 必须 对 本 地 时 间 源 到 其 
他 时 间 源 直至 根 时 间 源 的 连接 加 以 认证 。 管理 员 也 应 该 合理 配置 NTP 守护 程序 ， 以 拒绝 
那些 来 自 外 部 的 跟踪 请 求 。 


3.4.19 FINGER 协议 


1. 概述 

Finger 协议 最 早出 现在 BSD3.0 系统 中 ， 端 口号 为 79， 是 互联 网 上 最 老 的 协议 之 一 。 
后 来 很 多 UNIX 系统 使 用 了 这 个 协议 ,fedora core 3 系统 也 有 Finger 的 客户 端 ,但 是 fedora 
core 3 系统 在 默认 情况 下 是 关闭 远程 Finger 服务 的 。Finger 协议 可 以 帮助 用 户 查 询 系统 
中 某 一 个 用 户 的 细节 ， 如 用 户 名 、 地 址 、 电 话 和 登录 时 间 等 。Finger 协议 用 于 查找 主机 
及 其 网 络 上 的 用 户 信息 ， 可 以 查询 站 点 的 在 线 用 户 清 单 及 其 他 一 些 有 用 的 信息 。 根 据 
RFC1288, Finger 是 基于 传输 控制 的 协议 。 在 本 地 主机 打开 一 个 远程 主机 在 Finger 端口 
的 连接 。 使 远程 主机 的 RUIP (远程 用 户 信 息 程序 ) 变 成 有 效 来 处 理 该 请 求 。 本 地 主机 发 
送 给 RUIP 一 行 基于 Finger 查询 说 明 的 请 求 ， 然 后 等 待 RUIP 的 响应 。RUIP 接收 和 处 理 
这 个 请 求 后 ， 返 回应 答 ， 然 后 发 起 连接 的 关闭 。 本 地 主机 接收 到 应 答 和 关闭 信号 后 ， 执 
行 本 地 端的 关闭 ， 协 议 执行 完 

2. FINGER 协议 的 安全 问题 及 防护 措施 
于 安全 性 较 低 ， 现 在 很 多 主机 都 关闭 了 这 项 服务 。 不 过 互联 网 上 仍然 有 相当 数量 
的 主机 在 继续 提供 Finger 服务 ， 但 Finger 服务 却 给 网 络 安全 带 来 了 很 大 的 危害 。 由 于 
Finger 服务 一 般 都 是 提供 在 线 用 户 的 用 户 名 ， 因 此 入 侵 者 通过 Finger 服务 可 以 轻松 地 取 
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得 有 效用 户 名 列表 。 如 果 耐 心地 多 试 几 次 ， 基 本 上 可 以 得 到 大 部 分 的 用 户 名 ， 然 后 黑客 
可 以 使 用 暴力 密码 破解 器 ,往往 能 在 较 短 的 时 间 里 得 到 一 个 有 效 的 用 户 “ 身 份 ” 如 FTP 
权限 和 Telnet 权限 ， 甚 至 得 到 一 个 有 写 权限 的 账号 。 那 么 黑客 以 此 作为 进一步 行动 的 跳 
板 ， 所 以 也 可 以 说 ， 使 用 Finger 就 等 于 是 开门 指 盗 。 利 用 Finger 服务 可 以 取得 用 户 的 登 
录 时 间 ， 查 看 邮件 时 间 等 有 用 的 信息 ， 这 个 也 是 一 般 入 侵 者 所 关注 的 重要 信息 ， 因 为 可 
以 了 解 用 户 的 登录 时 间 和 习惯 ， 有 利于 隐藏 行踪 。Farmer 和 Venema 曾 这 样 评价 Finger 
协议 : 这 是 一 种 最 危险 的 服务 ， 它 可 以 被 黑客 用 来 调查 并 发 现 潜在 的 攻击 目标 。 它 所 提 
供 的 信息 ， 很 可 能 被 黑客 用 来 实施 口令 猜测 攻击 。 黑 客 还 可 以 从 这 些 信 息 中 发 现 用 户 最 
近 与 哪个 实体 相连 ， 这 个 实体 可 能 成 为 潜在 的 攻击 目标 ;黑客 还 可 以 发 现 用 户 最 后 使 用 
的 是 哪个 账号 。 黑 客 对 那些 很 少 使 用 的 账号 非常 感 兴趣 ， 因 为 这 些 账号 的 所 有 者 很 难 发 
现 他 们 的 账号 遭 到 滥用 。Finger 协议 不 可 能 在 防火 墙 上 运行 ， 因 此 对 于 受 防火 墙 保护 的 
网 站 来 说 ， 它 不 是 主要 考虑 的 问题 。 对 于 防火 墙 内 部 的 用 户 来 说 ， 可 以 使 用 其 他 办 法 获 
得 大 量 同 样 的 信息 。 但 是 ， 如 果 把 一 台 机 器 暴露 在 防火 墙 外 部 ， 那 么 关闭 Finger 后 台 程 
序 ， 或 者 对 其 施加 某 些 限 制 才 是 明智 之 举 。 


3.4.20 Whois 协议 


1. 概述 

Whois 协议 运行 于 各 域名 注册 机 构 ， 用 来 查询 域名 所 有 者 的 身份 及 数据 库 中 的 其 他 
信息 ， 如 所 有 者 (Registrant Name)、 所 有 者 联系 邮箱 (Registrant E-mail)、 注 册 商 
(Sponsoring Registrar)、 注 册 日 期 (Registration Date)、 到 期 日 期 (Expiration Date)、 域 
名 状态 (Domain Status) 和 DNS 服务 器 (Name Server) 等 。Whois 在 一 种 专门 的 Whois 
服务 器 上 查询 ， 这 种 服务 器 上 有 个 人 或 站 点 信息 的 大 型 数据 库 〈 如 InterNIC 数据 库 )， 
只 要 是 在 它 上 面 登记 过 的 人 员 或 站 点 ，Whois 就 可 以 查 到 它们 。 目 前 国内 提供 WHOIS 
查询 服务 的 网 站 有 万 网 、 站 长 之 家 等 。 该 协议 使 用 的 默认 端口 号 是 43。 


2. Whois 协议 的 安全 问题 及 防护 措施 

Whois 服务 器 有 很 多 ， 并 不 是 每 个 服务 器 上 都 有 所 查 对 象 的 信息 ， 而 应 在 对 象 所 属 
区 域内 的 Whois 服务 器 上 查询 ， 查 询 者 才 有 可 能 查 到 正确 的 结果 。Whois 服务 器 大 致 
按 国 家 和 地 区 ( 洲 ) 分 类 ， 如 中 国 的 whois.cnnic.net.cn, 日 本 的 whois.nic.ad.jp， 亚 太 地 
区 的 whois.apnic.net， 欧 洲 的 whois.ripe.net 等 。 找 到 Whois 服务 器 后 ， 在 query 框 中 
输入 一 个 人 名 ， 在 地 址 框 中 输入 其 所 在 国 或 洲 的 Whois 服务 器 地 址 ， 就 可 能 查 到 其 联 
系 信息 。 如 果 要 查询 一 个 站 点 的 联络 信息 ， 可 以 直接 在 地 址 框 中 输入 站 点 地 址 。 

查询 到 的 信息 除了 站 点 的 必要 信息 之 外 ， 还 有 站 点 所 有 者 的 隐私 信息 ， 比 如 家 庭 住 
址 、 电 话 号 码 和 电子 邮件 地 址 等 信息 ,这 些 信息 可 能 会 通过 开放 式 的 Whois 查询 而 泄露 ， 
继而 被 有 目的 的 攻击 者 利用 。 此 外 ， 在 进行 Whois 查询 时 ， 大 多 数 情况 下 ， 人 们 使 用 的 
是 客户 端 软件 。 黑客 曾 使 用 这 一 服务 攻破 注册 数据 库 , 并 对 数据 库 进 行 了 非 授 权 的 修改 。 
发 生 这 种 情况 ， 是 Whois 服务 器 没有 对 输入 进行 检查 所 致 ， 导 致 了 包含 大 量 站 点 信息 的 
数据 库 的 内 容 的 泄露 。 
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针对 以 上 几 种 问题 ， 目 前 存在 的 解决 办 法 相对 较 少 。 如 果 要 查询 只 能 联系 对 应 的 注 
册 商 ， 那 么 可 以 使 注册 商 对 国际 域名 的 Whois 信息 屏蔽 。 这 种 保护 机 制 是 防止 有 人 恶意 
利用 这 种 Whois 信息 的 联系 方式 ， 暴 露 客户 的 隐私 信息 。 如 果 域 名 持 有 者 要 注册 Whois 
服务 ， 可 以 取消 填写 家 庭 住址 和 电话 号 码 等 信息 的 填写 要 求 ， 这 是 从 信息 源头 上 解决 隐 
私信 息 的 泄露 。 对 于 黑客 针对 数据 库 的 攻击 ， 迄 今 为 止 ， 人 们 并 未 对 Whois 服务 进行 过 
仔细 的 检查 和 测试 ， 如 果 网 站 提供 这 种 服务 ， 应 该 对 该 服务 的 代码 进行 仔细 检查 ， 因 此 
该 服务 存在 一 定 的 风险 。 


3.4.21 LDAP 协议 


1. 概述 

LDAP (Lightweight Directory Access Protocol) 的 全 称 是 轻 量 级 目录 访问 协议 ， 类 似 
于 X.500， 以 目录 的 形式 来 管理 资源 。LDAP 简化 了 烦琐 的 X.500 协议 ， 在 功能 性 、 数 据 
表示 、 编 码 和 传输 方面 做 了 改进 。1997 年 ， 第 3 版 LDAP 协议 成 为 因特网 标准 ， 协 议 的 
默认 端口 号 是 389。 在 介绍 LDAP 之 前 ， 有 必要 先 引入 目录 的 概念 以 进一步 理解 LDAP。 

目录 (Directory) 是 一 种 专门 的 数据 库 ， 服 务 于 各 种 应 用 程序 ， 具 有 通用 性 和 标准 
性 。 大 多 数 人 熟悉 各 种 各 样 的 目录 ， 如 电话 笑 、 黄 页 和 电视 指南 等 ， 称 为 日 常 目 录 。 计 
算 机 中 的 目录 称 为 在 线 目 录 。 目 录 服 务 是 软件 、 硬 件 、 策 略 及 管理 的 集合 体 ， 包 括 多 个 
方面 ， 例 如 目录 中 的 信息 、 信 息 存 取 的 软件 客户 端 、 客 户 端 到 服务 端 以 及 各 服务 端 之 间 
的 网 络 基础 设施 等 。 一 些 应 用 类 型 不 能 被 归 为 目录 ， 如 文件 系统 、Web 服务 和 FTP 服务 
等 。 最 常用 的 目录 有 两 类 : X.500 和 LDAP 协议 。 


2. LDAP 协议 的 安全 问题 及 防护 措施 

计算 机 网 络 中 安全 是 最 重要 的 因素 , 对 于 LDAP 的 客户 机 /服务 器 模型 安全 也 是 必要 
的 考虑 条 件 。 当 客户 和 服务 器 通信 时 ， 在 不 安全 的 网 络 上 传输 敏感 信息 必须 得 到 保护 。 
归纳 起 来 ，LDAP 考虑 的 安全 包括 以 下 几 个 方面 : 

a) 用 户 认证 。 保 证 客户 的 身份 与 客户 所 声明 的 一 样 。 

(2) 数据 完整 。 保 证 服务 器 收 到 的 数据 没有 被 自 改 。 

(3) 数据 保密 。 在 可 能 使 数据 暴露 的 地 方 对 数据 加 密 。 

(4) 用 户 授权 。 保 证 用 户 的 请 求 在 用 户 的 权限 范围 内 。 用 户 授权 必须 使 用 用 户 认证 
通过 以 后 才 实 施 。 在 LDAPv3 中 ， 用 户 授 权 不 在 协议 范围 内 ， 而 是 各 个 厂商 自己 完成 。 

对 于 用 户 认证 功能 ， 最 常用 的 由 LDAP 提供 的 方法 包括 3 种 方式 。 无 认证 是 指 客户 
在 绑 定 服务 器 时 不 提供 区 分 名 DN(Distinguished Name) 和 密码 , 服务 器 自动 建立 一 次 匿名 
会 话 并 分 配 预先 定义 好 的 权限 给 当前 用 户 。 基 本 认证 是 指 当 客户 选择 基本 认证 方式 时 ， 
将 提供 客户 的 DN 和 密码 以 Base64 编码 的 方式 在 网 络 上 传输 。 服务器 检查 DN 和 密码 是 
否 与 目录 中 的 一 个 目录 项 吻合 来 判断 用 户 的 合法 性 。 简单 认 证 和 安全 层 (SASL) 是 一 个 
框架 ， 它 为 面向 连接 的 协议 提供 额外 的 认证 机 制 ， 现 在 已 经 广泛 用 于 IMAP4, SMTP, 
POP3 和 LDAP 协议 的 中 间 层 。 

需要 注意 的 是 ，LDAP 与 Finger 服务 非常 相似 ， 由 于 两 者 提供 相同 种 类 的 信息 ， 因 
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此 面临 着 相同 类 型 的 风险 。 另 外 ， 它 使 用 了 ASN.1 编码 ， 因 此 也 继承 了 其 编码 带 来 的 
缺陷 。 


3.4.22 NNTP 协议 


1. 概述 

NNTP (Network News Transfer Protocol) 即 网 络 新 闻 传 输 协 议 [Kantor 等 1986]， 是 
一 个 主要 用 于 阅读 和 张贴 新 闻 文 章 到 Usenet 上 的 Internet 应 用 协议 ,NNTP 用 于 向 NNTP 
服务 器 或 NNTP 客户 提供 新 闻 的 分 发 、 查 询 、 检 索 和 投递 。NNTP 采用 的 会 话 与 SMTP 
相 类 似 ， 本质 区 别 在 于 SMTP 通常 是 双向 的 、 私 密 的 ,也 就 是 在 两 个 用 户 之 间 传 递 消息 ， 
而 NNTP 是 多 向 的 、 开 放 的 ， 多 个 用 户 共同 查看 同一 条 消息 ， 任 何人 都 可 以 对 消息 进行 
评价 和 讨论 。 

NNTP 使 用 TCP 端口 号 119， 也 像 其 他 Internet 应 用 (HTTP，FTP 和 SMTP 等 ) 一 
样 使 用 命令 和 响应 实现 通信 , 客户 发 送 ASCI 命令 给 服务 器 , 服务 器 返回 数值 的 响应 码 ， 
后 面 跟着 可 选 的 ASCII 数据 。 验 证 NNTP 协议 最 简单 的 方法 就 是 利用 Telnet 程序 来 连接 
一 台 主 机 上 的 NNTP 端口 ， 前 提 条 件 是 这 台 主 机 运行 了 NNTP 服务 器 程序 。 但 是 ， 通 常 
我 们 必须 从 一 台 能 被 服务 器 主机 识别 的 主机 上 运行 客户 程序 ， 典 型 的 情况 就 是 选择 同一 
组 织 网 络 中 的 一 台 主 机 。 例 如 ， 通 过 Internet 从 其 他 网 络 的 主机 上 登录 本 地 的 新 闻 服 务 
器 ， 会 收 到 如 下 错误 信息 : 


vangogh.cs.berkley.edu % telnet noao. edu nntp 





Trying 140.252.1.54... 由 telnet 客户 程序 输出 
Connected to noao. edu. 由 telnet 客户 程序 输出 
Escape character is `^]. 由 telnet 客户 程序 输出 
502 You have to permission to talk.Goodbye. 由 NNTP 服务 器 输出 

Connection closed by foreign host . 由 telnet 客户 程序 输出 


输出 的 第 4 行 是 由 NNTP 服务 器 输出 的 , 响应 码 是 502。 当 TCP 连接 被 建立 后 , NNTP 
妥 务 器 收 到 客户 的 IP 地址， 将 它 与 配置 中 的 IP 地 址 进行 比较 。 如 果 从 一 台 “ 本 地 ” 主 
机 连接 到 新 闻 服务 器 ， 则 不 会 收 到 类 似 错误 信息 。 


2. NNTP 协议 的 安全 问题 及 防护 措施 

于 NNTP 不 必 让 用 户 直接 连 入 服务 器 ,这 相 比 SMTP 相对 安全 一 些 ,但 关于 NNTP 
如 何 通 过 防火 墙 还 有 一 些 争 论 。 最 直接 的 方式 是 把 它 视 同 邮 件 ， 即 接收 和 发 送 的 消息 条 
目 通过 网 关 来 处 理 和 转发 ， 但 这 种 方法 也 存在 一 些 缺 点 : 

(1) 网 络 消息 非常 耗费 系统 资源 。 它 消耗 了 巨大 数量 的 磁盘 空间 、 文 件 位 置 、 节 点 
和 CPU 时间 等 。 网关 管 理 员 或 许 会 利用 处 理 数据 的 相关 程序 来 处 理 每 天 多 达 数 GB 的 网 
络 消息 。 但 任何 程序 都 可 能 会 带 来 安全 漏洞 ， 在 NNTPD 中 已 经 存在 过 这 样 的 问题 ， 在 
网 络 消息 子 系统 的 其 余部 分 也 同样 存在 类 似 问题 。 消息 的 分 发 软件 包含 SNNTP, 这 是 一 
个 相对 简单 而 且 可 能 更 安全 的 NNTP。 它 缺乏 一 些 NNTP 的 功能 ， 但 是 对 于 通过 网 关 传 
递 消息 来 说 是 合适 的 ， 至 少 不 需 要 每 个 服务 都 以 root 的 权限 运行 。 
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(2) 很 多 的 防火 墙 结构 在 设计 时 假设 网 关 可 能 遭受 攻击 ， 也 就 是 说 ， 在 网 关上 不 能 
够 部 署 公司 内 部 所 有 的 新 闻 组 ， 同 时 网 关 也 不 能 够 作为 内 部 消息 的 “集线器 ”。 

(3) NNTP 与 SMTP 相 比 有 一 个 最 大 的 好 处 : 通过 NNTP 可 以 了 解 邻居 是 谁 ， 可 以 
利用 这 个 信息 来 拒绝 不 友好 的 连接 请 求 。 如 果 网 关 确 实 要 接收 消息 ， 就 需要 利用 一 些 机 
制 。 可 能 采用 NNTP 来 传递 接收 到 的 消息 。 这 样 ， 如 果 NNTP 存在 漏洞 ， 内 部 的 消息 主 
机 将 会 很 危险 ， 因 为 只 要 控制 了 网 关 ， 就 可 以 对 它 进行 攻击 。 

正 是 由 于 以 上 原因 ， 有 人 建议 在 内 部 机 器 运行 NNTP 时 ， 使 用 一 种 隧道 策略 ， 在 防 
火 墙 上 开 羡 一 个 加 密 隧道 ， 以 便 让 这 种 数据 流通 过 。 

JER: 这 种 选择 不 是 完全 没有 风险 的 。 如 果 NNTPD 本 身 仍然 存在 问题 ， 攻 击 者 仍 
能 够 穿 过 隧道 。 但 是 任何 其 他 方式 都 不 会 有 分 离 的 传输 机 制 ， 同 样 会 使 系统 暴露 在 类 似 
的 险 境 中 ， 比 如 uucp， 尽 管 它 本 身 具 有 非常 安全 的 通道 。 


习 A 























一 、 填 空 题 

1. 主机 的 IPv4 的 地 址 长 度 为 b， 主 机 的 MAC 地 址 长 度 为 bo IPv6 
的 地 址 长 度 为 b。 

2. ARP 的 主要 功能 是 将 地 址 转换 成 为 地 址 。 

3. NAT 的 主要 功能 是 实现 地 址 和 地 址 之 间 的 转换 ， 它 解决 了 IPv4 
地 址 短缺 的 问题 。 

4. DNS 服务 使 用 号 端口 ， 它 用 来 实现 或 的 映射 。 

5. SMTP 服务 使 用 号 端口 发 送 邮 件 ，POP3 服务 使 用 号 端口 接收 
邮件 ，IMAP 使 用 号 端口 接收 邮件 。 

6. FTP 的 主要 功能 是 实现 文件 的 上 传 和 下 载 ， 它 的 数据 通道 采用 TCP 的 
号 端口 ， 而 其 控制 通道 采用 TCP 的 号 端口 。 

7. Telnet 服务 的 功能 是 实现 远程 登录 ， 它 采用 TCP 的 号 端口 。 

8. SSH 服务 的 功能 是 实现 安全 的 远程 登录 ， 它 采用 TCP 的 号 端口 。 

9. SNMP 服务 的 功能 是 实现 对 网 元 的 管理 ， 它 采用 UDP 的 号 端口 。 

10. NTP 服务 使 网 络 内 的 所 有 设备 时 钟 保持 一 致 ， 它 使 用 UDP 的 号 端口 。 

二 、 简 答题 

1. 简 述 以 太 网 上 一 次 TCP 会 话 所 经 历 的 步骤 和 涉及 的 协议 。 

2. 在 TCP 连接 建立 的 3 步 握手 阶段 ,攻击 者 为 什么 可 以 成 功 实施 SYN Flood 攻击 ? 
在 实际 中 ， 如 何 防范 此 类 攻击 ? 

3. 如 何 封装 一 个 源 路 由 数据 包 ? 允许 这 种 数据 包 通过 防火 墙 会 对 内 部 网 络 安全 造 
成 什么 影响 ? 

4. 为 什么 UDP 比 TCP 更 加 容易 遭 到 攻击 ? 

5. 为 什么 路 由 协议 不 能 抵御 路 由 欺骗 攻击 ? 如 何 设置 路 由 器 抵御 这 一 攻击 ? 
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6. 写 出 DNS 服务 的 CheckList 〈 安 全 检查 步 又) 。 

7. 通过 DNS 劫持 会 对 目标 系统 产生 什么 样 的 影响 ? 应 该 如 何 避 免 ? 

8. 简 述 IPv6 和 IPv4 的 数据 包 格 式 的 异同 。 在 IPv4 网 络 上 打通 IPv6 隧道 的 方式 有 
哪些 ? 

9. IPv6 和 IPv4 网 络 能 否 互通 ? 如 果 可 以 ， 需 要 哪些 辅助 措施 ? 

10. 能 否 在 ARP 层 进行 会 话 的 劫持 ? 如 果 能 ， 原 理 是 什么 ? 

11. 黑客 为 什么 可 以 成 功 实施 ARP 欺骗 攻击 ? 在 实际 中 如 何 防止 ARP 欺骗 攻击 ? 

12. 判断 下 列 情况 是 否 可 能 存在 ? 为 什么 ? 

(1) 通过 ICMP 数据 包 封 装 数据 ， 与 远程 主机 进行 类 似 UDP 的 通信 。 

(2) 通过 特意 构造 的 TCP 数据 包 ， 中 断 两 台 机 器 之 间 指 定 的 一 个 TCP 会 话 。 

13. 什么 是 ICMP 重 定向 攻击 ? 如何 防止 此 类 攻击 ? 

14. 在 内 部 以 太 局 域 网 中 ， 能 否 根 据 一 个 ARP Hh (MAC 地 址 ) 唯一 确定 一 台 主 
机 ? 能 否 根 据 给 定 的 一 个 ARP 地 址 唯一 确定 拥有 者 的 身份 ? 

15. DNS 可 能 遭 到 的 攻击 有 哪些 ? DNSsec 协议 有 哪些 优点 ? 

16. 在 邮件 应 用 中 ，IMAP 与 POP 相 比 较 ， 最 大 改进 是 什么 ? 

17. FTP 和 H.323 都 被 称 为 动态 协议 ， 为 什么 ? 

18. 使 用 SSH 进行 通信 是 否 能 够 避免 会 话 劫持 ? 为 什么 ? 

19. SNMP v1 和 SNMP v3 有 哪些 不 同 ? SNMP v3 中 主要 做 了 哪些 改进 ? 

20. 简 述 在 多 播 通信 中 ， 通 信 各 方 发 送 数据 包 的 类 型 ， 以 及 源 、 目 的 地 址 的 特征 。 

21. 电子 邮件 系统 通常 面临 哪些 安全 风险 ? 在 实际 中 ， 人 们 采用 哪些 安全 措施 来 提 
高 邮件 系统 的 安全 性 ? 

22. FTP 服务 存在 哪些 安全 风险 ? 应 如 何 做 才能 消除 或 减少 这 些 安全 风险 ? 

23. 请 比较 Telnet 和 SSH 协议 的 异同 , 并 用 Sniffer 软件 捕捉 其 数据 包 查 看 两 者 的 数 
据 包 内 容 有 何不 同 。 

24. (R H.323 协议 与 SIP 的 异同 。 
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单 ( 私 ) 钥 密码 体制 


单 钥 加 密 体制 也 称 为 私 钥 加 密 体 制 (Secret Key Cryptosystem)。 由 于 通信 双方 采用 
的 密 钥 相 同 ， 所 以 人 们 通常 也 称 其 为 对 称 加 密 体制 (Symmetric Cryptosystem)。 

对 于 单 钥 加 密 体 制 来 说 ， 可 以 按照 其 加 解密 运算 的 特点 ， 将 其 分 为 流 密 码 〈Stream 
Cipher) 和 分 组 密码 (Block Cipher)。 涉 及 流 密码 和 分 组 密码 的 理论 和 技术 内 容 非 常 多 ， 
很 多 书 中 将 流 密码 和 分 组 密码 分 章 讨论 。 由 于 对 流 密码 和 分 组 密码 的 理论 上 的 描述 已 经 
超出 了 本 书 的 范围 ， 所 以 本 章 将 流 密 码 和 分 组 密码 合 为 一 章 讨 论 。 本 章 主要 介绍 流 密码 
和 分 组 密码 的 基本 理论 ， 以 及 有 代表 性 的 分 组 密码 算法 ， 并 对 其 具体 的 技术 问题 进行 
讨论 。 


41 ”密码 体制 的 定义 




















密码 体制 的 语法 定义 如 下 : 
e 明文 消息 空间 M: 某 个 字母 表 上 的 串 集 。 
o 密 文 消息 空间 C: 可 能 的 密 文 消息 集 。 
o 加 密 密 钥 空 间 K: 可 能 的 加 密 密 钥 集 ， 解密 密 钥 空间 K"， 可 能 的 解密 密 钥 集 。 
有 效 的 密 钥 生成 算法 6:N 一 KxK'。 
e 有 效 的 加 密 算法 已 :MxK 一 C 。 
e 有 效 的 解密 算法 D:CxK' 一 M 。 
IPRA, C(I) 输出 长 为 1 的 密 钥 对 (ke,kd)e KxK'， 
对 于 keeK 和 meM， 将 加 密 变 换 表 示 为 
c=E..(m) 
读 做 “c 是 m 在 密 钥 ke 下 的 加 密 ” 将 解密 变换 表示 为 
m=D,,(c) 
读 做 “m 是 c 在 密 钥 kd 下 的 解密 ” 对 于 所 有 的 meAM 和 所 有 的 ke eK ， 一 定 存在 
kdsK' : 


Da (E (m) =m (4-1) 
在 本 书 的 其 余 各 章 ， 除 了 文献 上 已 经 习惯 使 用 不 同 记 号 的 地 方 ， 将 使 用 这 个 构造 性 
的 记号 集 来 表示 抽象 的 密码 体制 。 图 4-1 是 密码 体制 的 图 示 。 
现 将 密码 体制 的 构成 空间 和 算法 符号 应 用 于 既 使 用 私 钥 又 使 用 公 钥 ( 公 钥 密码 体制 
将 在 第 5 章 中 介绍 ) 的 密码 体制 。 在 单 钥 密码 体制 中 ， 加 密 和 解密 使 用 同样 的 密 钥 ， 加 
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密 消 息 的 人 必须 与 即将 收 到 已 加 密 消息 并 对 其 解密 的 人 分 享 加 密 密 钥 。kd = ke 的 情况 给 
了 单 钥 密码 体制 另 一 个 名 字 : 对 称 密码 体制 (Symmetric Cryptosystem)。 在 公 钥 密码 体 
制 中 ， 加 密 和 解密 使 用 不 同 的 密 钥 ， 对 于 每 个 ke eK ， 存 在 kd e K' ， 这 两 个 密 钥 不 同 ， 
但 互相 匹配 ， 加 密 密 钥 ke PURE, ke 的 拥有 者 可 以 使 用 相 匹 配 的 私 钥 kd 来 解密 在 ke 
下 加 密 过 的 密 文 。kd# ke 的 情况 给 了 公 钥 密码 体制 男 一 个 名 字 : 非 对 称 密码 体制 
(Asymmetric Cryptosystem )。 
1883 年 ，Kerchoffs 列 了 一 个 设计 密码 要 求 必 备 的 条 件 表 [Menezes 等 1997]。 在 
Kerchoffs 列表 中 ， 有 一 条 已 经 发 展 为 被 广泛 认可 的 约定 ， 称 为 Kerchoffs 原理 。 
现代 密码 分 析 的 标准 假设 是 攻击 者 可 以 获知 密码 算法 、 密 钥 长 度 以 及 密 文 。 既 然 敌 
手 最 终 可 以 获得 这 些 信息 ， 那 么 评估 密码 强度 时 最 好 不 要 依赖 这 些 信息 的 保密 性 。 
结合 香农 对 密码 体制 的 语义 描述 和 Kerchoffs 原理 ， 可 以 对 好 的 密码 体制 做 如 下 
总 结 : 
o 算法 E 和 DD 不 包含 秘密 的 成 分 或 设计 部 分 。 
o 将 有 意义 的 消息 相当 均匀 地 分 布 在 整个 密 文 消息 空间 中 ; 甚至 可 以 由 EE 的 某 些 
随机 的 内 部 运算 来 获得 随机 的 分 布 。 
o 使 用 正确 的 密 钥 ，E 和 DD 是 实际 有 效 的 。 
e 不 使 用 正确 的 密 钥 , 要 由 密 文 恢复 出 相应 的 明文 是 一 个 由 密 钥 参数 的 大 小 唯一 决 
定 的 困难 问题 ， 通常 取 长 为 的 密 钥 ， 使 得 解 这 个 问题 所 要 求 计算 资源 的 量 级 超 
过 p(s), p 是 任意 多 项 式 。 
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单 钥 密码 体制 : ke=kd 。 密 钥 信道 : 例如 ， 信 使 
公 钥 密码 体制 : ke 去 kd Ba: 例如 ， 号 码 薄 


图 4-1 密码 体制 


注意 : 希望 密码 体制 具有 以 上 这 些 性 质 对 于 现代 密码 体制 的 应 用 来 说 已 经 不 够 了 ， 
通过 对 密码 体制 的 研究 ， 将 归纳 出 一 些 更 为 严格 的 要 求 。 


42 古典 密码 





古典 密码 是 密码 学 的 渊源 ， 这 些 密码 大 都 比较 简单 ， 可 用 手工 或 机 械 操作 实现 加 解 
密 ， 现 在 已 很 少 采 用 了 。 然 而 ， 研 究 这 些 密码 的 原理 ， 对 于 理解 、 构 造 和 分 析 现 代 密码 
都 是 十 分 有 益 的 。 
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4.2.1 代 换 密码 


在 代 换 密码 (Substitution Cipher) 中 ， 加 密 算法 E, (m 是 一 个 代 换 函数 ， 它 将 每 一 
个 me M 代 换 为 相应 的 ce C ， 代 换 函 数 的 参数 是 密 钥 k MERIK D,(c) 只 是 一 个 逆 代 
换 。 通 常 ， 代 换 可 由 映射 x:M 一 C 给 出 ， 而 逆 代 换 恰 是 相应 的 逆 上 映射:C 一 M 。 


1. 简单 的 代 换 密码 
例 4-1 简单 的 代 换 密码 。 令 M = C = Z,。, 所 包含 元 素 表 示 为 4=0,B=1,…,Z =25。 
将 加 密 算法 忆 m) 定义 为 下 面 的 Z,。 上 的 一 个 置换 
0 1 2 3 0 所 
3 -9 
13 14 15 16 17 18 19 20 21 22 23 24 25 
5 10 2 8 16 11 144 7 1 4 20 0 6 
那么 相应 的 解密 算法 Di(c) 为 
0 t 2 3 + S 6 Te 9 n B 
24 21 15 11 22 13 25 20 16 12 14 18 1 
13 14 15 16 17 18 19 20 21 22 23 24 25 
9 9Y 7 17 3 10 6 2 0 8 5S 4 2 
明文 消息 
proceed meeting as agreed 
加 密 为 下 面 的 密 文 消息 〈 空 间 并 不 改变 ) 


eqkzyyr jyyowft vl vtqyyr 


在 这 个 简单 的 代 换 密码 的 例子 里 ， 消 息 空 间 M 和 C 都 是 字母 表 Z,。 ， 换 句 话 说 ,一 
个 明文 或 密 文 消息 是 字母 表 中 的 一 个 单个 字符 。 由 于 这 个 原因 ， 明 文 消 息 串 
proceedmeetingasagreed 并 不 是 单个 的 消息 ， 而 是 包含 了 22 个 消息 ， 同 样 ， 密 文 消息 串 
cqkzyyrjyyowftvlvtqyyr 也 包含 22 个 消息 。 密 码 的 密 钥 空 间 大 小 为 26!> 4x102 ， 与 消息 
空间 的 大 小 相 比 是 非常 大 的 。 然 而 ， 事 实 上 这 种 密码 是 非常 弱 的 : 每 一 个 明文 字符 被 加 
密 成 唯一 的 密 文字 符 。 这 一 弱点 致使 这 种 密码 对 于 称 为 频 度 分 析 的 一 种 密码 分 析 技术 来 
说 ， 是 相当 脆弱 的 ， 频 度 分 析 揭 示 出 一 个 事实 ， 就 是 自然 语言 包含 大 量 的 宛 余 。 

历史 上 出 现 过 几 种 特殊 的 简单 代 换 密码 ， 最 简单 且 最 著名 的 密码 称 为 移 位 密码 。 在 
移 位 密码 中 ，K = M =C， 令 N=#M ， 则 加 密 和 解密 映射 定义 为 

E,(m)<— m+k(modN) 
oe 

其 中 m,c,keZy。 当 M 为 拉丁 字母 表 的 大 写字 母 时 ， 也 就 是 M = Zs ， 移 位 密码 也 称 为 
凯撒 密码 ， 这 是 因为 Julius Caesar 使 用 了 该 密码 当 k=3 时 的 情形 [Denning 1982]. 

如 果 gcd(k,N)=1， 那 么 对 每 个 m<N : 





(4-2) 








81 


ee 网络 安全 一 一 技术 与 实践 (第 3 版 ) mm 


km(mod N) 
可 取 遍 整个 消息 空间 Zw ， 因 此 对 于 这 样 的 kE 和 mc<N 
a (m) + km(mod N) (43) 
D,(c) + k‘c(mod N) 
给 出 了 一 种 简单 代 换 密码 。 同 理 ， 
kım + k,(mod N) 
也 可 以 定义 一 种 称 为 仿 射 密码 的 简单 代 换 密码 : 
Sea ie onli aW 
D, (c) — kī’ (c - k, (mod N) 


不 难看 出 , 利用 天 中 密 钥 与 M 中 消息 之 间 的 不 同 算术 运算 可 以 设计 不 同 的 简单 代 换 
密码 ， 这 些 密码 称 为 单 表 密码 (Monoalphabetic Cipher): 对 于 一 个 给 定 的 加 密 密 钥 ， 明 
文 消息 空间 中 的 每 一 元 素 将 被 代 换 为 密 文 消息 空间 中 的 唯一 元 素 。 因 此 ， 单 表 密 码 不 能 
抵抗 频 度 分 析 攻击 。 

然而 ， 由 于 简单 代 换 密码 的 简易 性 ， 它 们 已 经 被 广泛 应 用 于 现代 单 钥 加 密 算法 中 。 
在 后 面 的 两 节 中 ， 将 介绍 简单 代 换 密码 在 数据 加 密 标 准 DES) 和 高 级 加 密 标准 CAES) 
中 所 起 到 的 核心 作用 。 几 个 简单 密码 算法 的 结合 可 以 产生 一 个 安全 的 密码 算法 ， 这 一 点 
已 经 得 到 大 家 的 认可 ， 这 就 是 简单 密码 仍 被 广泛 应 用 的 原因 。 简 单 代 换 密码 在 密码 协议 
上 也 有 广泛 的 应 用 。 


2. 多 表 密 码 

如 果 P 中 的 明文 消息 元 可 以 代 换 为 C 中 的 许多 、 可 能 是 任意 多 的 密 文 消息 元 ， 这 种 
代 换 密码 就 称 为 多 表 密 码 (Polyalphabetic Cipher) 

由 于 维 吉 尼 亚 密码 (Vigenere Cipher) 是 多 表 密 码 中 最 知名 的 密码 ， 所 以 下 面 将 以 
它 为 例 来 说 明 多 表 密码 。 

维 吉 尼 亚 密码 是 基于 串 的 代 换 密码 : 密 钥 是 由 多 于 一 个 的 字符 所 组 成 的 串 。 令 m 为 
密 钥 长 度 ， 那 么 明文 串 被 分 为 m 个 字符 的 小 段 ， 也 就 是 说 ， 每 一 小 段 是 m 个 字符 的 串 ， 
可 能 的 例外 就 是 串 的 最 后 一 小 段 不 足 m 个 字符 。 加密 算法 的 运算 同 于 密 钥 串 和 明文 串 之 
间 的 移 位 密码 ， 每 次 的 明文 串 都 使 用 重复 的 密 钥 串 。 解 密 同 于 移 位 密码 的 解密 运算 。 

例 4-2 维 吉 尼 亚 密码 。 令 密 钥 串 是 gold， 利 用 编码 规则 4=0，B=1，…，Z-25， 这 
个 密 钥 串 的 数字 表示 是 (6, 14, 11,3)。 明 文 串 


























proceed meeting as agreed 


的 维 吉 尼 亚 加 密 运 算 如 下 ， 这 种 运算 就 是 逐 字符 模 26 加 : 
15 17 14 2 4 4 3 12 4 4 19 
6 4 IW 3 6 4 HW 3 6 4 IU 
21 5 2 5 10 18 14 15 10 18 4 





3 6 14 H 3 6 14 H 3 6 14 
11 19 20 n 21 6 20 2 7 10 17 
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因此 密 文 串 是 


vfzfkso pkseltu lv guchkr 


其 他 著名 的 多 表 密 码 还 包括 书本 密码 (也 称 做 Beale 密码 ) 和 Hill 密码 ， 它 们 的 密 
钥 串 是 已 协商 好 的 书 中 的 原文 。 有 关 这 些 代 换 密码 的 详细 描述 请 参考 相关 文献 [Denning 
1982; Stinson 1995]. 


3. 弗 纳 姆 密码 和 一 次 一 密 
弗 纳 姆 密码 是 最 简单 的 密码 体制 之 一 。 若 假定 消息 是 长 为 的 比特 串 
m=b,b,---b, €{0,1}" 





那么 密 钥 也 是 长 为 n 的 比特 串 

k=kk k, ey 0,1" 
(这 里 注意 到 符号 “sw ”表示 均匀 随机 地 选取 k)。 一 次 加 密 一 比特 ， 通 过 将 每 个 消息 比 
特 和 相应 的 密 钥 比 特 进行 比特 XOR( 异 或 ) 运算 来 得 到 密 文 串 c=cic,…c 


c =b, ®k, 
1Si<n, ZEER O ENH 
e |o ı 
o lo 1 
1 1 0 


因为 @ 是 模 2 加 ， 所 以 减法 等 于 加 法 ， 因 此 解密 与 加 密 相同 。 

考虑 M =C= 天 = {0.1, 则 弗 纳 姆 密码 是 代 换 密码 的 特例 。 如 果 密 钥 串 只 使 用 一 次 ， 
那么 弗 纳 姆 密码 就 是 一 次 一 密 加 密 体 制 。 一 次 一 密 弗 纳 姆 密码 提供 的 保密 性 是 在 信息 理 
论 安全 性 的 意义 上 的 ， 或 者 说 ， 是 无 条 件 的 。 理 解 这 种 安全 性 的 一 种 简单 方法 如 下 : 

如 果 密 钥 等 于 c@m〈 逐 比特 模 2 加 )， 由 于 任意 m 能 够 产生 c， 所 以 密 文 消息 串 
c ESE HET OTIS HAST AEB m 的 任何 信息 。 

一 次 一 密 弗 纳 姆 密码 也 称 为 一 次 一 密 钥 密码 。 原 则 上 ， 只 要 加 密 密 钥 的 使 用 满足 安 
全 代 换 密码 必须 满足 的 两 个 条 件 [Mao 2004]， 那 么 任何 代 换 密码 都 是 一 次 一 密 密 码 。 然 
而 习惯 上 只 有 使 用 逐 比 特异 或 运算 的 密码 才 称 为 一 次 一 密 密 码 。 

与 其 他 代 换 密码 (例如 使 用 模 26 加 的 移 位 密码 ) 相 比 ， 逐 位 异 或 运算 〈 模 2 加 ) 在 
电子 电路 中 更 容易 实现 ， 因 为 这 个 原因 ， 逐 位 异 或 运算 被 广泛 应 用 在 现代 单 钥 加 密 算法 
的 设计 中 。 现 代 密 码 DES. AES 和 我 国 设计 的 祖冲之 密码 算法 (ZUC) 均 使 用 了 逐 位 异 
或 运算 。 

一 次 一 密 钥 类 型 也 被 广泛 应 用 在 密码 学 协议 中 。 


4.2.2 换 位 密码 


通过 重新 排列 消息 中 元 素 的 位 置 而 不 改变 元 素 本 身 来 变换 一 个 消息 的 密码 称 做 换 位 
密码 〈 也 称 做 置换 密码 )。 换 位 密码 是 古典 密码 中 除 代 换 密码 外 的 重要 一 类 ， 它 广泛 应 用 
于 现代 分 组 密码 的 构造 。 
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考虑 明文 消息 中 的 元 素 是 Zs 中 的 字符 时 的 情形 ， 令 b 为 一 固定 的 正 整数 ， 它 表示 
消息 分 组 的 大 小 ，P=C=(Z,e)》， 而 K 是 所 有 的 置换 ， 也 就 是 (1,2,…,5) 的 所 有 重 排 。 
那么 因为 xeK ， 和 置换 x=(n(1),n(2),---,2(b)) 是 一 个 密 钥 。 对 于 明文 分 组 
(x) EP， 这 个 换 位 密码 的 加 密 算法 是 
E, (35X) = (Kr) tra Xr) ) 
A BAR we WE, 也 就 是 (x())=ii=1,2,…,b， 那么 这 个 换 位 密码 相应 的 解密 算 
法 是 





Dy =(%,y,,7) = (Yia Vim Yay) 
对 于 长 度 大 于 分 组 长 度 b 的 消息 ， 该 消息 可 分 成 多 个 分 组 ， 然 后 逐 分 组 重复 同样 的 
既然 对 于 消息 分 组 的 长 度 »， 共 有 4b! 种 不 同 的 密 钥 ， 因 此 一 个 明文 消息 分 组 能 够 变 
换 加 密 为 b! 种 可 能 的 密 文 ， 然 而 由 于 字母 本 身 并 未 改变 ， 换 位 密码 对 于 抗 频 度 分 析 技 术 
也 是 相当 脆弱 的 。 
例 4-3 换 位 密码 。 令 =4，r=(r(),x(2),r(3),r(4))=(2,4,13) ， 那 么 明文 消息 





proceed meeting as agreed 

首先 分 为 6 个 分 组 ， 每 个 分 组 4 个 字符 : 
proc eedm eeti ngas agre ed 

然后 可 以 变换 -加 密 成 下 面 的 密 文 
rcpoemedeietgsnagearde 


注意 到 明文 的 最 后 一 个 短 分 组 ed 实际 上 填充 成 了 edu u， 然 后 加 密 成 dueu, H 

从 密 文 分 组 中 删 掉 补 上 的 空格 。 解 密 密 钥 是 
z =(m(1)',m(2)',m(3)",0(4)") = (27,47,13) 

最 终 的 缩短 密 文 分 组 de 只 包含 两 个 字母 说 明了 在 相应 的 明文 分 组 中 没有 字符 与 3 
和 4- 的 位 置 相 匹配 ， 因 此 在 解密 过 程 正 确 执 行 以 前 ， 应 该 将 空格 重新 插入 到 缩短 的 密 
文 分 组 中 它们 原来 的 位 置 上 ， 以 便 将 分 组 恢复 成 添加 空格 的 形式 dueu 。 

注意 到 对 于 最 后 的 明文 分 组 较 短 的 情况 (比如 例 4-3 的 情形 )， 由 于 添加 的 字符 暴露 
了 所 用 密 钥 的 信息 ， 因 此 在 密 文 消息 中 不 要 留 下 例如 凯 这 样 的 添加 字符 。 


423 古典 密码 的 安全 性 


首先 指出 ， 古 典 密码 有 两 个 基本 工作 原理 : 代 换 和 换 位 。 它 们 仍 是 构造 现代 对 称 加 
密 算 法 的 最 重要 的 核心 技术 。 后 面 介绍 代 换 和 换 位 密码 在 两 个 重要 的 现代 对 称 加 密 算法 
DES 和 AES 中 的 结合 。 

考虑 基于 字符 的 代 换 密码 ， 因 为 明文 消息 空间 就 是 字母 表 ， 每 个 消息 就 是 字母 表 中 
的 一 个 字符 , 加 密 就 是 逐 字 符 地 将 每 一 明文 字符 代 换 为 一 个 密 文字 符 , 代 换 取决 于 密 钥 。 
在 加 密 一 个 长 字符 串 时 ， 如 果 密 钥 是 固定 的 ， 那 么 在 明文 消息 中 同一 个 字符 将 被 加 密 成 
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密 文 消息 中 一 个 固定 的 字符 。 

众所周知 ， 自 然 语 言 中 的 字符 有 稳定 的 频 度 ， 自 然 语言 中 的 字符 频 度 分 布 知识 为 密 
码 分 析 〈 由 已 知 密 文 消息 发 现 明文 或 加 密 密 钥 信息 的 技术 ) 提供 了 线索 ， 例 4-1 表明 了 
这 一 情形 ， 该 例 中 的 字符 y 在 密 文 消息 中 高 频 出 现 ， 这 表明 一 定 有 一 个 固定 的 字符 在 相 
应 的 明文 消息 中 以 相同 的 频率 出 现 〈 事 实 上 这 个 字符 就 是 e， 在 英语 中 它 是 一 个 高 频 出 
现 的 字符 )。 简 单 代 换 密码 不 能 隐藏 基于 自然 语言 的 信息 , 基于 字符 频 度 研究 的 密码 分 析 
技术 的 详细 内 容 可 参阅 密码 学 的 有 关 教 材 [Denning 1982; Menezes 等 1997]. 

表 密 码 和 换 位 密码 都 比 简单 代 换 密码 安全 ， 但 是 ， 如 果 密 钥 很 短 而 消息 很 长 ， 那 么 
就 有 各 种 各 样 的 密码 分 析 技 术 能 够 攻破 这 样 的 密码 。 

然而 如 果 密 钥 的 使 用 满足 了 某 些 条 件 ， 那 么 古典 密码 ， 甚 至 是 简单 代 换 密码 也 可 以 
是 非常 安全 的 。 事 实 上 ， 在 正确 地 使 用 了 密 钥 以 后 ， 简 单 代 换 密码 可 以 广泛 应 用 于 密码 
体制 和 协议 。 


43 流 密码 的 基本 概念 


























流 密码 是 密码 体制 中 的 一 个 重要 体制 , 也 是 手工 和 机 械 密 码 时 代 的 主流 。20 世纪 50 
年 代 ， 由 于 数字 电子 技术 的 发 展 ， 使 密 钥 流 可 以 方便 地 利用 以 移 位 寄存 器 为 基础 的 电路 
来 产生 ， 这 促使 线性 和 非 线 性 移 位 寄存 器 理论 迅速 发 展 ， 加 上 有 效 的 数学 工具 ， 如 代数 
和 谱 分 析 理 论 的 引入 ， 使 得 流 密码 理论 迅速 发 展 和 走向 较 成 熟 的 阶段 。 同 时 由 于 它 实现 
简单 和 速度 上 的 优势 ， 以 及 没有 或 只 有 有 限 的 错误 传播 ， 使 流 密码 在 实际 应 用 中 ， 特 别 
是 在 专用 和 机 密 机 构 中 仍 保持 优势 。 已 提出 多 种 类 型 的 流 密码 ， 但 大 多 是 以 硬件 实现 的 
专用 算法 ， 目 前 还 无 标准 化 的 流 密码 算法 。 本 章 将 对 流 密码 的 基本 理论 和 算法 进行 介绍 ， 
同时 也 讨论 一 些 最 近 提出 的 新 型 流 密码 ， 如 混沌 密码 序列 和 量子 密码 。 有 关 密 码 的 综述 
可 参阅 [Rueppel 1986a, 1992]. 

流 密码 是 将 明文 划分 成 字符 (如 单个 字母 )， 或 其 编码 的 基本 单元 (如 0，! 数字 )， 
字符 分 别 与 密 钥 流 作用 进行 加 密 ， 解 密 时 以 同步 产生 的 同样 的 密 钥 流 实现 ， 其 基本 框图 
如 图 4-2 所 示 。 图 中 ，KG 为 密 钥 流 生成 器 ， 石 为 初始 密 钥 。 流 密码 强度 完全 依赖 于 密 钥 
流产 生 器 所 生成 序列 的 随机 性 〈randomness) 和 不 可 预测 性 〈unpredictability)。 其 核心 
问题 是 密 钥 流 生 成 器 的 设计 。 保 持 收 发 两 端 密 钥 流 的 精确 同步 是 实现 可 靠 解密 的 关键 
技术 。 


人 安全 全 


fe k 
Mi C; G 
=| Extn) = E,{m) 


图 4-2 流 密码 原理 框图 
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4.3.1 ” 流 密码 框图 和 分 类 


$ m=mm,…m, 是 待 加 密 消 息 流 ， 其 中 meM 。 密 文 流 c=cc…c…= 
E, (m, Ey, (m,)--E, (m) ==> 6, €C o PIGS 0) 是 密 钥 流 。 若 它 是 一 个 完全 随机 的 
非 周 期 序列 ， 则 可 用 它 实 现 一 次 一 密 体 制 。 但 这 需要 有 限 存 储 单元 和 复杂 的 逻辑 函数 fo 
实用 中 的 流 密码 大 多 采用 有 限 存 储 单元 和 确定 性 算法 ， 因 此 可 用 有 限 状 态 自动 机 (Finite 
State Automaton, FSA) 来 描述 。 如 图 4-3 所 示 。 


Kp O) [= 
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图 4-3 KG 的 有 限 状态 自动 机 描述 























c = E, (m,) (4-5) 
RP m, = D, (c;) (4-6) 
k, = f(k,.0,) (4-7) 

而 
6, = folk 1.0.4) (4-8) 


是 第 i MARHA ERRARE, WRAP TCI FER EHR: k 是 初始 密 钥 ，f 
是 输出 函数 ， 太 是 状态 转移 函数 。 若 

c; =E, (m,) =m, ®k, (4-9) 
则 称 这 类 密码 为 加 法 流 密 码 。 

Fo 与 明文 消息 无 关 ,， 则 密 钥 流 将 独立 于 明文 ， 称 此 类 为 同步 流 密码 (Synchronous 
Stream Cipher，SSC)， 如 图 4-4 所 示 。 对 于 明文 而 言 ， 这 类 加 密 变换 是 无 记忆 的 ， 但 它 
是 时 变 的 。 因 为 同一 明文 字符 在 不 同时 刻 ， 由 于 密 钥 不 同 而 被 加 密 成 不 同 的 密 文字 符 。 
此 类 密码 只 要 收发 两 端的 密 钥 流 生 成 器 的 初始 密 钥 后 和 初始 状态 相同 ， 输 出 的 密 钥 就 一 
样 。 因 此 ， 只 有 保持 两 端 精确 同步 才能 正常 工作 ， 一 旦 失 步 就 不 能 正确 解密 ， 必 须 等 到 
重新 同步 后 才能 恢复 正常 工作 。 这 是 其 主要 缺点 。 但 由 于 其 对 失 步 的 敏感 性 ， 使 得 系统 
在 有 定 扰 者 进行 注入 、 删 除 、 重 放 等 主动 攻击 时 异常 敏感 而 有 利于 检测 。 此 类 体制 的 优 
点 是 传输 中 出 现 的 一 些 偶然 错误 ， 只 影响 相应 位 的 恢复 消息 ， 没 有 差错 传播 (Error 
Propagation)。 许 多 古典 密码 ， 如 周期 为 d 的 维 吉 尼 亚 密码 、 转 轮 密码 、 滚 动 密 钥 密码 、 
弗 纳 姆 密码 等 ， 都 是 同步 型 流 密码 。 同 步 型 流 密码 在 失 步 后 如 何 重新 同步 是 一 个 重要 技 
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图 4-4 同步 和 自 同步 流 密码 
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术 研究 课题 ， 处 理 不 好 会 严重 影响 系统 的 安全 性 。 

另 一 类 是 自 同步 流 密码 (Self-Synchronous Stream Cipher，SSSC)。 如 图 4-4 中 虚线 
所 示 。 其 o, 依 赖 于 (kj,o;,m,)， 因 而 历史 地 将 与 m,m,,…,m, 有关。 这 将 使 密 文 c, 不 仅 
与 当前 输入 m, 有 关 , 而 且 由 于 对 o; 的 关系 而 与 以 前 的 输入 m,m,,…,m, | 有关。 一般 在 
ARHI n 级 存储 下 将 与 m,m,,…,m, 1 有关。 图 4-5 所 示 一 种 有 n 级 移 位 寄存 器 存储 的 密 
文 反馈 型 流 密码 。 每 个 密 文 数字 将 影响 以 后 n 个 输入 明文 数字 的 加 密 结果 。 此 时 的 密 钥 
Hik, = Flyc ,scinns…sCi4)。 由 于 cc; 与 1m; 的 关系 ，k 最 终 要 受 输入 明文 数字 的 影响 。 
这 类 流 密码 的 密 钥 流 都 可 由 式 (4-10) 表示: 

k, = f (kis ms mn mi) (4-10) 
其 中 





fikyxM" > k, (4-11) 
军事 上 称 这 类 流 密码 为 密 文 自 密 钥 CCiphertext Autokey) 密码 。 

自 同 步 流 密码 传输 过 程 中 有 一 位 〈 如 ci 位 ) 出 错 ， 在 解密 过 程 中 ， 它 将 在 移 存 器 中 
存活 n 个 节拍 ， 因 而 会 影响 其 后 n 位 密 钥 的 正确 性 ， 相 应 恢复 的 明文 消息 连续 n 位 会 受 
到 影响 。 其 差错 传播 是 有 限 的 。 但 这 类 体制 ， 收 端 只 要 连续 正确 地 收 到 n 位 密 文 ， 则 在 
相同 密 钥 k 作 用 下 就 会 产生 相同 的 密 钥 ， 因 而 它 具 有 自 同步 能 力 。 这 种 自 恢复 同步 性 使 
得 它 对 窗 扰 者 的 一 些 主动 攻击 不 像 同步 流 密码 体制 那样 敏感 。 但 它 将 明文 每 个 字符 扩散 
在 密 文 多 个 字符 中 而 强化 了 其 抗 统计 分 析 的 能 力 。Maurer[1991] 给 出 了 自 同步 流 密码 的 
设计 方法 。 如 何 控制 自 同 步 流 密码 的 差错 传播 以 及 它 对 安全 性 的 影响 可 参阅 相关 文献 。 
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4-5 自 同步 流 密码 


综 上 记述 ， 实 际 应 用 中 的 密 钥 流 都 是 由 有 限 存 储 和 有 限 复杂 逻辑 电路 来 产生 的 ， 即 
用 有 限 状 态 机 来 实现 .一 个 有 限 状态 机 在 确定 逻辑 连接 下 不 可 能 产生 一 个 真正 随机 序列 ， 
它 迟 早 要 步 入 周期 状态 。 因 而 不 可 能 用 它 来 实现 一 次 一 密 体制 。 但 是 可 以 使 这 类 机 器 产 
生 的 序列 周期 足够 长 (如 1050)， 而 且 其 随机 性 又 相当 好 ， 从 而 可 方便 地 近似 实现 人 们 
所 追求 的 理想 体制 。20 世纪 50 年 代 以 来 ， 以 有 限 自动 机 为 主流 的 理论 和 方法 得 到 了 迅 
速 发 展 。 近 年 来 虽然 出 现 了 不 少 新 的 产生 密 钥 流 的 理论 和 方法 ， 如 混沌 密码 、 胞 元 自动 
机 密码 、 热 流 密 码 等 ， 但 在 有 限 精度 的 数字 实现 的 条 件 下 最 终 都 可 归结 为 用 有 限 自动 机 
来 描述 。 因 此 ， 研 究 这 类 序列 产生 器 的 理论 是 流 密 码 研究 中 最 重要 的 基础 。 


4.3.2” 密 钥 流 生成 器 的 结构 和 分 类 
Rueppel[1986b] 用 一 个 更 清楚 的 框图 , 将 密 钥 流 生成 器 分 成 两 个 主要 组 成 部 分 , 即 驱 
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动 部 分 和 组 合 部 分 ， 如 图 4-6 所 示 。 驱 动 部 分 产生 控制 生成 器 的 状态 序列 8,,S,,…Sw ， 
个 或 多 个 长 周期 线性 反馈 移 位 寄存 器 构成 ， 它 控制 生成 器 的 周期 和 统计 特性 。 非 线 
性 组 合 部 分 对 驱动 器 各 输出 序列 进行 非 线性 组 合 ， 控 制 和 提高 生成 器 输出 序列 的 统计 特 
性 、 线 性 复杂 度 和 不 可 预测 性 等 ， 以 实现 Shannon 提出 的 扩散 和 混淆 ， 保 证 输出 密 钥 流 
的 密码 的 强度 。 

为 了 保证 输出 密 钥 流 的 密码 强度 ， 对 组 合 函数 忆 有 下 述 要 求 ; 

A) F 将 驱动 序列 变换 为 滚动 密 钥 序列 ， 当 输入 为 二 元 随机 序列 时 ， 输 出 也 为 二 元 
随机 序列 。 

(2) 对 于 给 定 周期 的 输入 序列 ， 构 造 的 下 使 输出 序列 的 周期 尽 可 能 大 。 

(3) 对 于 给 定 复 杂 度 输入 序列 ， 构 造 的 下 输出 序列 的 复杂 度 尽 可 能 大 。 

(4) 的 信息 泄漏 极 小 化 (从 输出 难以 提取 有 关 密 钥 流 生成 器 的 结构 信息 )。 

(5) 严 应 易于 工程 实现 ， 工 作 速 度 高 。 

(6) 在 需要 时 ， 亚 易于 在 密 钥 控制 下 工作 。 
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(a) 驱动 部 分 (b) 组 合 部 分 


图 4-6 密 钥 流 生成 器 组 成 


驱动 器 一 般 利 用 线性 反馈 移 位 寄存 器 (Linear Feedback Shift Register, LFSR), 特别 
是 最 长 或 m 序列 产生 器 实现 。 非 线性 反馈 移 位 寄存 器 (NLFSR》 也 可 作为 驱动 器 , 但 由 
于 在 数学 分 析 上 的 困难 而 很 少 采 用 。NLFSR 输出 序列 的 密码 特性 较 LFSR 输出 序列 要 好 
得 多 。 同 样 由 于 分 析 上 的 困难 性 ， 目 前 所 得 结果 有 限 ， 从 而 限制 了 它 的 应 用 。 

当前 密码 上 广泛 应 用 的 非 线性 序列 是 图 4-6 所 示 的 由 线性 序列 经 非 线 性 组 合 所 产生 
的 密 钥 流 。 这 实际 上 是 一 种 非 线 性 前 馈 〈forward) 序列 生成 器 。 这 类 序列 在 较 好 掌握 的 
线性 序列 组 5,,5,,…S 的 基础 上 ， 利 用 一 些 可 以 用 布尔 逻辑 、 谱 分 析 理 论 等 数学 工具 来 
设计 和 控制 的 非 线 性 组 合 函 数 ， 使 其 组 合 输出 序列 满足 密码 强度 要 求 。 常 用 的 方法 有 过 
辑 与 、J-K 触发 器 、 多 路 复 用 器 、 钟 控 、Bent 函数 、 背 包 函 数 等 。 


4.3.3 ” 密 钥 流 的 局 部 统计 检验 


对 于 密 钥 流 生成 器 输出 的 密 钥 序列 ， 必 须 进 行 必要 的 统计 检验 ， 以 确保 密 钥 序列 的 
伪 随 机 性 和 安全 性 。 已 经 设计 好 的 密 钥 生成 器 ， 原 则 上 可 以 计算 其 输出 的 整个 周期 上 的 
一 些 伪 随 机 性 G-1 一 G-3。 但 由 于 其 输出 序列 周期 都 很 长 ， 一 般 在 10” ~10” ， 因 而 不 可 
能 直接 计算 ， 只 能 利用 数理 统计 方法 进行 局 部 伪 随 机 性 检验 。 常 用 的 方法 有 频 度 检验 、 序 
偶 或 联 码 〈 测 定 相 邻 码 元 的 相关 性 ) 检验 、 扑 克 〈 图 样 分 布 ) 检验 、 游 程 或 串 长 分 布 检验 、 
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自 相 关 特 性 检验 和 局 部 复杂 性 检验 等 。 通 过 这 类 检验 的 密 钥 序列 可 以 在 统计 上 证 实 其 分 布 
的 均匀 性 。 但 还 不 能 证 实 其 独立 性 ， 有 一 些 方法 可 以 演示 它 没有 明显 的 相关 性 ， 一 般 是 利 
用 这 些 方法 来 试验 直到 对 其 独立 性 有 足够 信任 。 当 然 ， 这 并 不 能 确保 其 安全 性 ， 因 此 还 要 
对 其 密码 强度 进行 估计 ， 需 要 从 其 所 用 非 线性 函数 构造 和 所 具有 的 密码 性 质 进行 分 析 。 有 
关 局 部 统计 检验 可 参阅 有 关 书 刊 和 标准 [Maurer 1992b; Menezes 等 1997]. 

如 前 所 述 ， 密 钥 流 必须 具有 随机 性 ， 同 时 在 收 端 还 应 能 够 同步 生成 它 ， 否 则 就 不 能 实 
现 解 密 。 在 网 络 安全 系统 中 ， 如 交互 认证 协议 中 Nonce (一 次 性 随机 数 )、 密 钥 分 配 系统 
的 会 话 密 钥 等 ， 需 要 一 种 一 次 性 且 不 要 求 在 收 端 重新 同步 产生 的 随机 数 。 对 这 类 随机 数 生 
成 器 的 基本 要 求 和 密 钥 流 生成 器 一 样 , 必须 满足 随机 性 和 不 可 预测 性 。 由 于 它们 一 般 较 短 ， 
所 以 在 实现 上 与 密 钥 流 生成 器 不 太一 样 ， 本 章 后 面 将 介绍 生成 随机 数 的 一 些 具体 方法 。 


4.4 快速 束 软 ` 硬件 实现 的 流 密 an 码 算法 














近年 来 ， 人 们 对 简化 流 密码 的 软 硬 件 实现 进行 了 大 量 的 研究 ， 提 出 了 不 少 新 的 易于 
实现 的 算法 ， 有 些 是 成 功 的 ， 有 些 虽 不 安全 ， 但 在 设计 思想 上 有 参考 价值 。 有 些 算法 适 
合 硬件 实现 、 有 些 算 法 适合 软件 实现 。 有 些 算法 则 是 按 兼 顾 两 者 的 需要 来 设计 的 。 软 件 
密码 的 计算 量 是 算法 和 算法 实现 质量 的 函数 ， 一 个 用 硬件 实现 的 好 算法 ， 未 必 在 软件 实 
现 上 也 是 最 佳 的 。DES 这 一 在 硬件 实现 上 很 有 效 的 算法 也 不 例外 。 所 以 ， 寻 找 适 用 一 般 
计算 机 实现 的 最 佳 软件 算法 ， 也 需要 精心 设计 [Schneier 等 1997]。 本 节 将 介绍 其 中 一 些 
有 意义 的 算法 。 


4.4.1 AS 


AS 是 欧洲 数字 蜂窝 移动 电话 系统 (Group Special Mobile, GSM) 中 采用 的 加 密 算法 ， 
用 于 电话 手机 到 基站 线路 上 的 加 密 。 但 在 链 路 上 的 其 他 段 不 加 密 ， 因 此 电话 公司 很 容易 
窃听 用 户 会 话 。 

AS 由 法 国 设计 。 在 20 世纪 80 年 代 中 期 ，NATO 内 部 对 GSM 的 加 密 有 过 争议 ， 有 
人 认为 加 密会 妨碍 出 口 ， 而 另 有 些 人 则 认为 应 当 采 用 强度 大 的 密码 进行 保护 。 

AS 由 3 个 稀疏 本 原 多 项 式 构成 的 LFSR 组 成 ， 级 数 分 别 为 19、22 和 23， 其 初 态 F 
密 钥 独立 赋值 。 输 出 是 3 个 LFSR 输出 的 异 或 ， 采 用 可 变 钟 控 方式 ， 控 制 位 从 每 个 寄存 
器 中 间 附 近 选 定 。 若 控制 位 中 有 两 个 或 3 个 取 值 为 1， 则 产生 这 种 位 的 寄存 器 移 位 ， 若 
两 个 或 3 个 控制 位 为 0， 则 产生 这 种 位 的 寄存 器 不 移 位 。 显 然 ， 在 这 种 工作 于 停 走 
(stop/go) 型 的 相互 钟 控 〈 或 锁定 ) 方式 下 ， 任 一 寄存 器 移 位 的 概率 为 34。 走 遍 一 个 循 
环 周期 大 约 需要 (22 -1)x 4/3 个 时 钟 。 

攻击 AS 要 用 2” 次 加 密 来 确定 两 个 寄存 器 的 结构 , 而 后 从 密 钥 流 决定 第 3 个 LFSR。 
搜索 密 钥 机 已 在 设计 之 中 [Chambers 1994]. 

AS 的 基本 想法 不 错 , 效率 高 ,可 通过 所 有 已 知 统计 检验 标准 。 其 唯一 缺点 是 移 存 器 
级 数 短 ,其 最 短 循环 长 度 为 4/3x2* ,是 最 长 的 LFSR 的 级 数 ,总 级 数 为 19+22+23=64。 
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可 以 用 穷尽 搜索 法 破译 。 若 A5 采用 长 的 、 抽 头 多 的 LFSR， 它 会 更 安全 。 

4.4.2 ”加 法 流 密码 生成 器 

1. 加 法 生成 器 

以 nb 字 为 基本 单元 ,其 初始 存 数 为 m 个 nb Fxg 组 成 的 阵列 ， 按 递归 关系 
式 给 出 i 时刻 的 输出 字 x = a,x + ap aX H +A +qoxi, modM 。 其 中 ，+ 号 是 
mod M 加 法 运算 ， 一 般 M =2”。 适 当选 择 系数 aj(j =0,1…,n 一 1) ， 可 使 生成 序列 的 周 
期 极 大 化 。Brent 给 出 了 产生 最 大 周期 序列 的 条 件 。 选 用 次 数 大 于 2 的 本 原 3 次 式 ， 且 上 
Fibonacci 序列 的 最 低位 构成 的 数 序列 是 以 特征 多 项 式 阅 +> ax’, aj=a, mod 2 的 
LFSR 所 生成 的 序列 。 

例如 ，[55，24，0] 所 给 定 的 递 推 式 为 

X, = (Xss FXp) mod 2" 

本 原 式 中 多 于 3 项 时 ， 还 需 附 加 一 些 条 件 才能 使 周期 为 最 大 。 称 上 述 生 成 器 为 加 法 
(additive) 生成 器 。Knuth 曾 以 Fibonacci 数 决定 递 推 式 的 系数 ， 称 其 为 滞后 Cagged) 
Fibonacci 生成 器 。 由 于 这 种 生成 器 以 字 而 不 是 按 位 生成 密 钥 流 ， 因 此 速度 较 快 。 

2. FISH 算法 

Bl6cher 等 [1994] 利 用 滞后 Fibonacci 生成 器 代替 二 元 收缩 式 生成 器 ， 并 增加 一 个 映 
射 : GF(2”) —> GF(2) 来 生成 32b 的 流 密码 和 相应 明文 或 密 文 异 或 实现 加 密 和 解密 , 称 为 
Fibonacci 收缩 生成 器 ， 简 称 FISH 算法 。 实 现 框图 如 图 4-7 所 示 。 


灌 后 Fibonacci i Gi 
生成 器 4 















































滞后 Fibonacci Si y 
成 器 5 





图 4-7 FISH 生成 器 
Xë n, =32,ns =32，4 和 5 均 为 滞后 Fibonacci 生成 器 寄存 器 ， 其 初始 状态 由 密 钥 决 


定 。 灌 后 Fibonacci 生成 器 的 最 低位 的 序列 由 一 个 本 原 3 次 多 项 式 所 决定 的 LFSR 生成 ， 
满足 





a; = G,_55 +a, 2 mod 2” (4-12) 
S; = S152 tS mod2™ (4-13) 

映射 f :GF(2”) > GF(2), ， 即 将 8 寄存 器 的 32b 矢量 映射 为 其 最 低位 
fbi,bso,…,bo) = bo (4-14) 


Ai by =1, Wiha Ms, Fb, =0, WEF a, 和 % ， 继 续 移 位 运行 。 由 此 可 以 得 到 
32b 字 序列 co,c,… M dosd o 将 它们 分 别 组 对 为 (cuvcas) A (daidan) » FU FIRE 
辑 式 得 到 

ex =c © (dy, Ad (4-15) 
Pi = Fog AC RE) (4-16) 
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ky, = 2, ® fy, (4-17) 
kain = Cri ® fri (4-18) 


Jip, @RRBMAM, ARB. Æ 33MHz 的 PC 上 可 实现 15Mb/s 加 密 。 已 
通过 碰撞 、 相 关 、 式 样 采 集 (Coupon Collect)、 频 度 、 非 线性 复杂 度 、 扑 克 、 秩 、 串 长 、 
iif. HL m-H (overlapping). Ziv-Lempel 复杂 度 等 检验 ， 表 明 它 具 有 良好 的 随机 性 ， 
且 特 别 适 于 软件 快速 实现 。 

3. PIKE 算法 

虽然 FISH 通 过 了 各 类 统计 随机 性 检验 ,但 Anderson 指出 它 仍 不 够 安全 。 大 约 可 用 2” 
次 试验 攻破 。 为 此 Anderson 参照 A5 的 设计 思想 ,对 FISH 进行 改进 ， 提 出 所 谓 PIKE 的 
算法 。 它 采用 3 个 Fibonacci 生成 器 : 


L 32 
a; = aiss +a; mod2 














a; = a;_sı +a,_, mod 2”? 
a; = a; sg +; 4 Mod 2”? 

FISH 的 控制 位 不 是 进位 位 ， 而 是 最 低位 的 位 ， 否 则 攻击 会 更 难 。 因 此 PIKE 采用 进 
位 位 来 控制 。 若 所 有 3 个 进位 位 取 值 一 样 ， 则 3 个 寄存 器 都 推进 一 位 ， 否 则 将 推进 两 个 
有 相同 进位 位 的 寄存 器 。 控 制 将 迟 后 8 个 循环 ， 每 当 更 新 状态 之 后 ， 就 检查 控制 位 ， 并 
将 一 个 控制 nybble 写 到 一 个 寄存 器 中 。 此 寄存 器 以 下 一 次 更 新 存 数 移 4 位 。 在 某 些 处 理 
器 下 ， 利 用 校 验 位 作为 控制 可 能 更 方便 ， 看 来 这 是 一 种 可 接受 的 变通 方法 。 

下 一 个 密 钥 流 字 与 3 个 寄存 器 的 所 有 低位 字 进 行 异 或 。 此 算法 较 FISH 稍 快 ， 每 个 
密 钥 流 字 平均 需要 2.75 次 更 新 计算 值 ， 而 不 是 3 次 。 为 了 保证 采用 最 小 长 度 序 列 的 比率 
很 小 ， 限 定 在 生成 2” 个 字 后 ， 生 成 器 重新 注入 密 钥 。 缺 少 密 钥 供 应 的 用 户 可 以 利用 杂 
凑 函 数 如 SHA 来 扩充 ， 以 提供 700 B 初始 状态 。 此 方案 还 没有 经 受 多 少 密码 分 析 。 

4. Mush 算法 

Mush 算法 由 Wheeler 提出 [Schneier 1996], 采用 两 个 Fibonacci 生成 器 4 和 B 进行 相 
互 钟 控 。 若 4 有 进位 ， 则 B 被 驱动 ， 若 B 有 进位 ， 则 4 被 驱动 。 若 4 被 驱动 有 进位 时 ， 
则 置 进位 bit; 车 B 被 驱动 有 进位 时 ， 则 置 进位 bit。 最 后 输出 密 钥 字 由 4 和 B 的 输出 异 
或 得 到 , 产生 一 个 密 钥 字 。 平 均 需 要 3 次 迭代 , 若 适 当选 择 系数 , 且 4 与 B 的 级 数 互 素 ， 
则 可 保证 输出 密 钥 流 的 周期 极 大 化 。 目 前 尚 无 有 关 Mush 的 密码 分 析 结 果 。 


4.4.3 RC4 


RC4 是 由 RSA 安全 公司 的 Rivest 在 1987 年 提出 的 密 钥 长 度 可 变 流 密码 ， 但 其 算法 
细节 一 直 未 公开 。1994 年 9 月 有 人 在 Cypherpunks 邮递 表 中 公布 了 RC4 的 源 代码 ,并 通 
过 Internet 的 Usenet newsgroup sci.crypt 迅速 传 遍 全 球 。 虽 然 RC4 已 不 能 作为 产品 推销 ， 
但 RSA 公司 至 今 尚 未 公开 有 关 它 的 文件 [Rivest 1992; Schneier 1996]. 

该 算法 工作 于 OFB 模式 ， 密 钥 流 与 明文 独立 ， 利 用 8X8 个 S 盒 : So So o Sss 
在 变 长 密 钥 控制 下 对 0，1，…，255 的 数 进行 置换 。 它 有 两 个 计数 器 Al, 初始 时 都 为 0。 

它 通 过 下 述 算法 产生 随机 字 节 : 
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i=(i+1)mod256 
J=(j+S,)mod 256 
interchange S,and S, 
1=(S + S,)mod 256 
K=S, 
字 节 天 与 明文 异 或 得 到 密 文 , 或 与 密 文 异 或 得 到 明文 , 其 加 密 速度 比 DES th 10 倍 。 
S 盒 的 初始 化 过 程 如 下 : 首先 将 其 进行 线性 填 数 ， 即 Sc=0，S1=1，…，S2ss=255， 然 
后 以 密 钥 填 入 另 一 个 256 字 节 的 阵列 , 密 钥 不 够 长 时 可 重复 利用 给 定 密 钥 以 填 满 整 个 阵 : 
ko kp = kosse KIRRU 置 0， 并 执行 下 述 程序 : 
for i= 0 to 255 


j= (J+Si+ki ) mod 256 
interchange Si and Sj 


RSA DSI 声称 ，RC4 对 差分 攻击 和 线性 分 析 具 有 免疫 力 ， 没 有 短 循环 ， 且 具有 高 度 
非 线 性 。 目 前 尚 无 它 的 公开 分 析 结 果 。 它 大 约 有 256! x256? = 2 个 可 能 的 状态 。 各 S 
在 i 和 j 的 控制 下 卷 入 加 密 。 指 标 i 保 证 每 个 元 素 变 化 ， 指 标 j 保证 元 素 的 随机 改变 。 该 
算法 简单 明了 ， 易 于 编程 实现 。 

可 以 设想 利用 更 大 的 S 盒 和 更 长 的 字 ， 当 然 不 一 定 要 采用 16X16 ^ SR T, 
初始 化 工作 将 极其 漫长 。 

40b 密 钥 的 RC4 允许 出 口 , 但 其 安全 性 是 无 保证 的 。 已 有 儿 十 种 采用 RC4 算法 的 商 
业 产 品 ， 其 中 包括 Lottus Notes, Apple 公司 的 AOEC， 以 及 Oracle Secure SQL， 它 也 是 
美国 移动 通信 技术 公司 的 CDPD 系统 的 一 个 组 成 部 分 。 

关于 分 析 RC4 的 攻击 方法 有 许多 公开 发 表 的 文献 [Knudsen 等 1998; Mister 等 1998; 
Mantin 等 2001]， 但 没有 哪 种 方法 对 于 攻击 足够 长 度 的 密 钥 (如 128 位 ) 的 RC4 有 效 。 
值得 注意 的 是 ，Fluhrer 等 的 报告 指出 ， 用 于 为 802.11 无 线 局 域 网 提供 机 密 性 的 WEP, 
易于 受到 一 种 特殊 攻击 方法 的 攻击 〈 见 第 11 章 )。 从 本 质 上 讲 ， 这 个 问题 并 不 在 RC4 本 
身 ,而 是 作为 RC4 中 输入 密 钥 的 生成 途径 有 漏洞 。 这 种 特殊 的 攻击 方式 不 适用 于 其 他 使 
用 RC4 的 应 用 。 通 过 修改 WEP 中 密 钥 的 生成 途径 ， 也 可 以 避免 这 个 攻击 。 这 个 问题 恰 
恰 说 明 设 计 一 个 安全 系统 的 困难 性 不 仅 包 括 密 码 算 法 本 身 ， 还 包括 协议 如 何 正确 地 使 用 
这 些 密码 算法 。 


4.4.4 祖冲之 密码 


2011 年 9 H 19 一 21 H, 在 日 本 福冈 召开 的 第 53 次 第 三 代 合作 伙伴 计划 (GPP) 系 
统 架 构 组 (SA) 会议 上 ， 我 国 设计 的 祖冲之 密码 算法 CUC) 被 批准 成 为 新 一 代 宽带 无 
线 移动 通信 系统 (LTE) 国际 标准 ， 即 4G 的 国际 标准 。 这 是 我 国 商用 密码 算法 首次 走出 
国门 参与 国际 标准 竞争 ， 并 取得 重大 突破 。ZUC 成 为 国际 标准 提高 了 我 国 在 移动 通信 和 领 
域 的 地 位 和 影响 力 ， 对 我 国 移动 通信 产业 和 商用 密码 产业 发 展 均 具有 重要 意义 。 

2012 年 3 月 21 日 ,国家 密码 管理 局 发 布 正式 公告 , 将 ZUC 作为 中 国 商用 密码 算法 。 
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我 国 向 3GPP 提交 的 算法 标准 包含 如 下 内 容 : 

(1) 祖冲之 密码 算法 (ZUC): 用 于 产生 密 钥 序列 。 
(2) 128-EEA3: 基于 ZUC 的 机 密 性 算法 。 

(3) 128-EIA3: 基于 ZUC 的 完整 性 保护 算法 。 


1. ZUC 算法 

ZUC 本 质 上 是 一 个 密 钥 序 列 产生 算法 ， 其 输入 为 128 比特 的 初始 密 钥 和 128 比特 的 
初始 向 量 ， 输 出 为 32 比特 的 密 钥 字 序列 。 其 逻辑 上 分 为 三 层 ， 分 别 是 : 16 级 线性 反馈 
移 位 寄存 器 (LFSR)， 比 特 重组 (BR)， 非 线性 函数 F. 

@ LFSR 以 一 个 有 限 域 GF(23-1) 上 的 16 次 本 原 多 项 式 为 连接 多 项 式 ， 输 出 为 
GF(23-1) 上 的 疡 序列 。 

@ BR 从 LSFR 的 状态 中 取出 128 位 , 拼 成 4 个 32 位 字 (xo, xi x2 x3)。 非 线性 函数 EF 
从 BR 接受 3 个 32 位 字 (xo, xb xz)， 经 过 异 或 、 循 环 移 位 、 模 22 、 非 线性 S 盒 变换 ， 输 
出 32 位 字 We 
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图 4-8 ZUC 算法 结构 图 


A) 线性 反馈 移 位 寄存 器 (LFSR) 

LFSR 由 16 个 31 位 的 寄存 器 (so, s1,…, su,sl5) 组 成 ,每 一 个 都 是 定义 在 素 域 GF(C23-T 
上 。LFSR 有 两 种 状态 : 初始 化 状态 和 工作 状态 。 详 细 步骤 如 下 所 述 。 

LFSRWithInitialisationMode(w) 

{ 
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D v=2's,5+2'7s,, +275, +2, +(14+2°)s, mod (22-1， 
© s,,=(v+u) mod (2° -1); 是 w 通过 舍弃 最 低位 比特 得 到 
图 If si6=0, then set s,,=2"-1; 
@ (i je 
} 
LFSRWithWorkMode( ) 
{ 
O sig =2" 515 +27 513 + 27! S19 + 2°? 54+ (1+2°)so mod (2?! — 1); 
@ If s16= 0, then set sig = 23 — 1; 
© (5,552, 155516) > (S0515 siais) ° 
} 
(2) 比特 重组 CBR) 
比特 重组 是 一 个 过 渡 层 ， 其 主要 从 LFSR 的 8 个 寄存 器 单元 抽取 128 比特 内 容 组 成 
4 个 32 比特 的 字 ， 以 供 下 层 非 线 性 函数 忆 和 密 钥 输出 使 用 。 详 细 步骤 为 
Bitreorganization( ) 
© X= syll Suz: // 其 中 符号 | 表示 两 个 字符 首尾 拼接 
© X=sul Sou 
© X,=5l Ssu; 
® X =sal soy o 
} 
(3) 非 线 性 函数 下 
F APS 32 位 存储 单元 Riv Ro HAA x, xx,» HT 32 位 的 字 历 。 详 细 步 又 
为 
A 
{ 
@ W=(Xo@Rv) [E] R: /其 中 符号 上 | 表示 mod 2” 加 法 
© W= R, X: 
@ M =R @ x 
® R =S(L W || Won) s 
IL, (X)= X ®(X <<<, 2)® (X <<<, 10) O(X <<<, 18) ®(X <<<, 24) 
© R, =S(L, (Wx I Wa)). 
1/L,(X)=X@(X<<<, 8) ®(X <<<3,14)®(X <<<, 22) ®(X <<<, 30) 
// 下 标 32 表 示 X 是 32 位 的 数 ，5 为 5 盒 运算 。 
} 
这 里 的 S 盒 由 4 个 并 置 的 8 进 8 出 的 S 盒 构成 , BUS = (So, S1, S2, S3) 其 中 S = So, S3 = Si, 
于 是 有 S = (So, S1, S0,S1)o SHES, FS, 的 置换 运算 如 表 4-1 和 表 4-2 所 示 。 
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oF [2F | cs 

c3 | 96 | 56 
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FS oC | AA | 23 

93 |9F | Fl 

EE c4 |E2 | oF 

o |B7 | Al [es | A9 | 65 

78 |34 | 60 

pD |e |F 

AA | FD | 77 

ro [rs |42 

39 |4 | Bl 

3 FA | 62 | 48 
4 rs_| p4 | 87 
5 sD |7A | EB 
6 n [os | 09 
7 sp | DB | a9 
8 Es | pl | E9 
9 cp |49 | 89 
A B8 |95 | E4 
B 79 | c3 | DE 
c E7 | FF | 21 
D 7E | ob | 34 
E 65 | o4 |28 
F 03 |E2 | 2 
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(4) 密 钥 封装 

密 钥 封装 过 程 将 128 位 的 初始 密 钥 KEY 和 128 位 的 初始 向 量 V 扩 展 为 16 个 31 位 字 
作为 LFSR 变量 sos Sao Sis 的 初始 状态 。 设 KEY 和 JIV 分 别 为 ; 

KEY = kill kll kll...ll ks 
IV=ivl vl iv, Il... ivis 

则 密 钥 封装 过 程 如 下 : 

© WDA 240 位 常量 ， 按 如 下 方式 分 成 16 个 15 位 的 字 串 : D= do Il dy ||- Il dis: 

© WF OSI<15, 有 si= ki || d; || ivio 

(5) 算法 运行 

ZUC 算法 运行 ， 分 为 初始 化 阶段 和 工作 阶段 。 

初始 化 阶段 将 128 位 的 初始 密 钥 和 128 位 的 初始 向 量 信 按照 上 面 的 密 钥 封装 方法 
封装 到 LFSR 的 寄存 器 单元 变量 ss Sais 中 ， 作 为 LFSR 的 初 态 ，R1!、Rs 也 初始 化 
为 0， 重 复 执行 下 述 过 程 32 次 : 

© Bitreorganization( ); 

©® W= F(xo, x1, X2); 

@ LFSRWithInitialisationMode(u >>1)。 

工作 阶段 首先 需要 先 将 下 面 的 操作 运行 一 轮 : 

© Bitreorganization( ); 

@ Flxo,x1, x); /此 处 丢弃 输出 结果 

@ LFSRWithWorkMode( )。 

然后 进入 密 钥 输 出 阶段 ， 将 下 面 的 操作 运行 一 次 就 会 生成 一 个 32 比特 密 钥 Z。 

© Bitreorganization( ); 

@ Z= Fxo, x1, x2)® x3; 

@ LFSRWithWorkMode( ). 

2. 基于 ZUC 的 机 密 性 算法 128-EEA3 


128-EEA3 主要 用 于 4G 移 动 通 信 中 移动 用 户 设备 (User Equipment, UE) 和 核心 网 (Core 
Network) 之 间 无 线 链 路 上 信 令 和 数据 的 加 解密 。128-EEA3 加 解密 原理 如 图 4-9 所 示 。 








DIRECTION DIRECTION 
BEARER BEARER 
LENGTH, COUNT | LENGTH , COUNT | 
cK CK 
S| ZUC 二 二 一 人 | ZUC 


























人 人、 密 钥 序 列 字 
WD E = < x 
明文 BX BX 明文 
RZN 接收 方 





图 4-9 128-EEA3 算法 原理 图 
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利用 初始 密 钥 KEY 和 初始 向 量 IV， 执 行 ZUC 算法 ， 产 生 工 个 32 位 字 的 加 解密 密 
钥 流 。 设 长 度 为 LENGTH 的 输入 比特 流 为 : 

IBS= IBS[0]|| IBS[1]}|-+-||IBS[LENGTH-1] 
对 应 的 输出 比特 流 为 : OBS= OBS[0] OBS[1]|j---||OBS[LENGTH-1] 
加 解密 只 需要 把 明文 ( 密 文 ) 与 加 解密 密 钥 模 2 相 加 即 可 : 

OBS[i]= IBS[i] ® K[i], i=0, 1,2, =+, LENGTH-1 

输入 参数 定义 如 下 : 
LENGTH: 明文 消息 流 的 比特 长 度 ，32 位 
COUNT: 计数 器 ，32 位 
BEARER: 承载 层 标识 ，5 位 
DIRECTION: 传输 方向 标识 ，1 位 
CK: PLAYER, 128 位 ， 由 ZUC 产生 


3. 基于 ZUC 的 完整 性 算法 128-EIA3 
128-EIA3 主要 用 于 4G 移动 通信 中 移动 UE 和 核心 网 之 间 的 无 线 链 路 上 的 通信 信 令 
和 数据 的 完整 性 认证 , 并 对 信 令 源 进行 认证 。 主要 由 128-EIA3 产生 消息 认证 码 (MAC), 
通过 验证 MAC 值 ， 实 现 对 消息 的 完整 性 认证 。 
128-EIA3 的 工作 原理 如 图 4-10 所 示 。 
COUNT BEARER DIRECTION 
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图 4-10 128-EIA3 算法 原理 图 


利用 初始 密 钥 KEY 和 初始 向 量 IV， 执 行 ZUC 算法 ， 产 生 工 个 32 位 的 完整 性 密 钥 
字 流 。 设 需要 计算 消息 认证 码 的 消息 比特 序列 为 
M= m[0], m[1],…, m[LENGTH-1]. 
设 7 为 一 个 32 比特 的 字 变量 ，MAC 计算 如 下 : 
MACComputation( ) 
{ 
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© Set T=0; 
@ For (I = 0; I< LENGTH; /++) 
If m[J]=1 then T= 7 Ky: //Ki = k{i] || k[i+1] |] … I| k[i+31] 
© End For 
@ T=T®Kenom: 
© MAC= T® 天 32x(L-D。 

} 

最 后 ， 讨 论 一 下 ZUC 算法 的 安全 性 。 

ZUC 算法 在 LFSR 层 采用 了 GF(C3-10) 上 的 16 次 本 原 多 项 式 ,其 输出 序列 随机 性 好 、 
周期 足够 大 。 在 比特 重组 部 分 ， 重 组 的 数据 具有 良好 的 随机 性 ， 且 出 现 的 重复 概率 足够 
小 。 在 非 线 性 函数 FF 中 采用 了 两 个 存储 部 件 R、 二 个 线性 部 件 工 和 两 个 非 线 性 5S 盒 ， 使 
其 输出 具有 良好 的 非 线性 、 混 淆 特性 和 扩散 特性 。 设 计 者 经 过 评估 ， 认 为 能 够 抵抗 弱 密 
钥 攻击 、Guess-and-Determine 攻击 、Binary Decision trees 攻击 、 线 性 区 分 攻击 、 代 数 攻 
击 和 选择 初始 向 量 攻 击 等 多 种 密码 攻击 。 

在 侧 信 道 攻击 方面 ， 理 论 分 析 与 实验 表明 ，ZUC 算法 经 不 起 DPA 类 侧 信道 的 攻击 。 
因此 在 硬件 实现 时 必须 采取 保护 措施 。 

另外 ，128-EIA3 长 度 为 32 位 ， 穷 举 攻击 的 复杂 度 为 023)， 显 然 太 短 了 。 这 可 能 是 
移动 通信 的 实时 性 要 求 导致 。 实 际 应 用 中 应 当 采 取保 护 措施 。 

随 着 使 用 时 间 的 推移 ，ZUC 算法 安全 性 的 理论 分 析 和 实践 检验 会 更 加 充分 。 


45 分 组 密码 概述 











在 许多 密码 系统 中 ， 单 钥 分 组 密码 是 系统 安全 的 一 个 重要 组 成 部 分 。 分 组 密码 易于 
构造 拟 随机 数 生成 器 、 流 密码 、 消 息 认 证 码 (MAC) 和 杂凑 函数 等 ， 还 可 进而 成 为 消息 
认证 技术 、 数 据 完整 性 机 构 、 实 体 认 证 协议 以 及 单 钥 数 字 签 名 体制 的 核心 组 成 部 分 。 实 
际 应 用 中 对 于 分 组 码 可 能 提出 多 方面 的 要 求 ， 除 了 安全 性 以 外 ， 还 有 运行 速度 、 存 储量 
(程序 的 长 度 、 数 据 分 组 长 度 、 高 速 缓存 大 小 )、 实 现 平 台 软 硬件 、 芯 片 )、 运 行 模式 等 
限制 条 件 。 这 些 都 需要 与 安全 性 要 求 之 间 进 行 适当 的 折 中 选择 。 

分 组 密码 (Block Cipher) 是 将 明文 消息 编码 表示 后 的 数字 序列 x,x,,…,x; ， 划 分 成 
KA m 的 组 x= (xos xi o Xm) 各 组 (长 为 m 的 矢量 ) DEEH k= (ey kyo Ka) 
控制 下 变换 成 等 长 的 输出 数字 序列 y= Qo yo ts a) KAn 的 矢量 )， 其 加 密 函 数 
E:V,xK 玉 所 ，V(W) 是 m(n) 维 矢量 空间 ，K 为 密 钥 空间 ， 如 图 4-11 所 示 。 它 与 流 密 
码 的 不 同 之 处 在 于 输出 的 每 一 位 数字 不 是 只 与 相应 时 刻 输入 的 明文 数字 有 关 ， 而 是 与 一 
组 长 为 m 的 明文 数字 有 关 。 在 相同 密 钥 下 , 分 组 密码 对 长 为 m 的 输入 明文 组 所 实施 的 变 
换 是 等 同 的 ， 所 以 只 需 研究 对 任 一 组 明文 数字 的 变换 规则 。 这 种 密码 实质 上 是 字 长 为 m 
的 数字 序列 的 代 换 密码 。 
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明文 | | 明文 
X=(KoX ps Xn) X=(XoX Xm-1) 
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( 代 换 网 络 ) ( 代 换 网 络 ) 




















图 4-11 分 组 密码 框图 
通常 取 n=m。 若 n>m， 则 为 有 数据 扩展 的 分 组 密码 。 若 n<m， 则 为 有 数据 压缩 的 分 


组 密码 。 在 二 元 情况 下 , x 和 yy 均 为 二 元 数字 序列 ， 它 们 的 每 个 分 量 x,,y, e GF(2) 。 下 1 
主要 讨论 二 元 情况 。 将 长 为 n 的 二 元 x 和 J 表示 成 小 于 >" 的 整数 ， 即 

















n=l 

X= (Xp Ma) Dx x (4-19) 
i=0 
nl 

p= Ym) S DZ yl (4-20) 
i=0 


WAD RE a AE AF [x] © (0,1,---,2" — 1} 映射 为 四 js (0,1,---,2”— 1}, BUY {0,1,---,2" — 1} SUSE 
自身 的 一 个 置换 x， 即 
y=n(x) (4-21) 
置换 的 选择 由 密 钥 决 定 。 所 有 可 能 置换 构成 一 个 对 称 群 SYM(2”")， 其 中 元 素 个 数 
* tq} =2"! (4-22) 
例如 n=64b 时 ， 
(2 )! > 10” 380 000 000 000 000 000 > 10")? 
为 表示 任 一 特定 置换 所 需 的 二 元 数字 位 数 为 
log, (2”!) = (n —1.44)2" = 0(n2")b (4-23) 
即 密 钥 长 度 达 n2"b，n=64 IN IKE 64x 2% =2"%b, DES 的 密 钥 仅 为 56b，IDEA 的 
密 钥 也 不 过 为 128b。 实 用 中 的 各 种 分 组 密码 (如 后 面 要 介绍 的 DES、IDEA、RSA PI 
包 体 制 等 ) 所 用 的 署 换 都 不 过 是 上 述 置 换 集 中 的 一 个 很 小 的 子 集 。 分 组 密码 的 设计 问题 
在 于 找到 一 种 算法 ， 能 在 密 钥 控制 下 从 一 个 足够 大 且 足 够 好 的 置换 子 集中 ， 简 单 而 迅速 
地 选 出 一 个 置换 ， 用 来 对 当前 输入 的 明文 的 数字 组 进行 加 密 变 换 。 因 此 ， 设 计 的 算法 应 
满足 下 述 要 求 : 
CL) 分 组 长 度 n 要 足够 大 ， 使 分 组 代 换 字母 表 中 的 元 素 个 数 2" 足够 大 ， 防 止 明 文 穷 
举 攻击 法 奏效 。DES、IDEA、FEAL 和 LOKI 等 分 组 密码 都 采用 n=64， 在 生日 攻击 下 用 
2” 组 密 文成 功 概率 为 12， 同 时 要 求 22 x 64b = 25MB 存储 空间 ， 故 采用 穷 举 攻击 是 不 
现实 的 。 
(2) 密 钥 量 要 足够 大 〈 即 置换 子 集中 的 元 素 足够 多 )， 尽 可 能 消除 弱 密 钥 并 使 所 有 密 
钥 同 等 ， 以 防止 密 钥 穷 举 攻击 奏效 。 但 密 钥 又 不 能 过 长 ， 以 利于 密 钥 的 管理 。DES 采用 
56b 密 钥 ， 看 来 太 短 了 ，IDEA 采用 128b 密 钥 ，Denning 等 估计 ， 在 今后 30 一 40 ENK 
用 80b 密 钥 是 足够 安全 的 。 
(3) 由 密 钥 确定 置换 的 算法 要 足够 复杂 ， 充 分 实现 明文 与 密 钥 的 扩散 和 混淆 ， 没 有 
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简单 的 关系 可 循 ， 要 能 抗击 各 种 已 知 的 攻击 ， 如 差分 攻击 和 线性 攻击 等 ， 有 高 的 非 线 性 
阶 数 ， 实 现 复 杂 的 密码 变换 ， 使 对 手 在 破译 时 除了 用 穷 举 法 外 ， 无 其 他 捷径 可 循 。 

应 当 指出 ， 上 述 有 关 安 全 性 条 件 都 是 必要 条 件 ， 是 设计 分 组 密码 时 应 当 充 分 考虑 的 
一 些 问题 ， 但 绝 不 是 安全 性 的 充分 条 件 。 

(4) 加 密 和 解密 运算 简单 ， 易 于 软件 和 硬件 高 速 实现 。 如 将 分 组 n 划分 为 子 段 ， 每 
段 长 为 8、16 或 者 32。 在 以 软件 实现 时 ， 应 选用 简单 的 运算 ， 使 作用 于 子 段 上 的 密码 运 
算 易 于 以 标准 处 理 器 的 基本 运算 ， 如 加 、 乘 、 移 位 等 实现 ， 避 免 用 以 软件 难以 实现 的 逐 
位 置换 。 为 了 便于 硬件 实现 ， 加 密 和 解密 过 程 之 间 的 差别 应 仅 在 于 由 秘密 密 钥 所 生成 的 
密 钥 表 不 同 。 这样， 加 密 和 解密 就 可 用 同一 器 件 实现 。 设计 的 算法 采用 规则 的 模块 结构 ， 
如 多 轮 迭 代 等 ， 以 便于 采用 软件 和 VLSI 快速 实现 。 

(5) 数据 扩展 。 一 般 无 数据 扩展 ， 在 采用 同 态 置 换 和 随机 化 加 密 技 术 时 可 引入 数据 
扩展 。 

(6) 差错 传播 尽 可 能 得 小 。 

要 实现 上 述 几 点 要 求 并 不 容易 。 首 先 ， 图 4-11 的 代 换 网 络 的 复杂 性 随 分 组 长 度 n 呈 
指数 增 大 ， 常 常会 使 设计 变 得 复杂 而 难以 控制 和 实现 ， 实 际 中 常常 将 n 分 成 儿 个 小 段 ， 
分 别 设计 各 有 段 的 代 换 逻 辑 实现 电路 ， 采 用 并 行 操作 达到 总 的 分 组 长 度 n 足够 大 ， 这 将 在 
下 面 讨论 。 其 次 ， 为 了 便于 实现 ， 实 际 中 常常 将 较 简单 易于 实现 的 密码 系统 进行 组 合 ， 
构成 较 复 杂 的 、 密 钥 量 较 大 的 密码 系统 。Shannon[1949] 曾 提出 了 以 下 两 种 可 能 的 组 合 
方法 。 

CL) “概率 加 权 和 ”方法 ， 即 以 一 定 的 概率 随机 地 从 几 个 子 系统 中 选择 一 个 用 于 加 密 
当前 的 明文 。 设 有 7 ATRA AN Tyo T, 表示 ， 相 应 被 选用 的 概率 为 p, Poop,” 


其 中 六 p=1。 其 概率 和 系统 可 表示 成 
i=l 





T =p +p:T, +--+ p,T, (4-24) 
显然 ， 系 统 了 的 密 钥 量 将 是 各 子 系统 密 钥 量 之 和 。 

(2)“ 乘 积 ” 方 法 。 例 如， 设 有 两 个 子 密码 系统 Ty A Tao WAEA T ACTIE, 
然后 再 以 对 所 得 结果 进行 加 密 。 其 中 ，7 的 密 文 空间 需 作为 的 “明文 ”空间 。 乘 
积 密码 可 表示 成 

T=TT, (4-25) 
利用 这 两 种 方法 可 将 简单 易于 实现 的 密码 组 合成 复杂 的 更 为 安全 的 密码 。 

最 后 ， 为 了 抗击 统计 分 析 破 译 法 ， 需 要 实现 第 3 条 要 求 ，Shannon 曾 建 议 采 用 扩散 
(diffusion) # (confusion) 法 。 所 谓 扩散 ， 就 是 将 每 位 明文 及 密 钥 数 字 的 影响 尽 可 
能 迅速 地 散布 到 较 多 个 输出 的 密 文 数字 中 ， 以 便 隐 蔽 明文 数字 的 统计 特性 。 这 一 想法 可 
推广 到 将 任 一 位 密 钥 数字 的 影响 尽量 迅速 地 扩展 到 更 多 个 密 文 数字 中 去 ， 以 防止 对 密 钥 
进行 逐 段 破译 。 在 理想 情况 下 ， 明 文 的 每 位 和 密 钥 的 每 位 应 影响 密 文 的 每 位 ， 即 实现 所 
谓 “ 完 备 性 ”。Shannon 提出 的 “混淆 ”概念 目的 在 于 使 作用 于 明文 的 密 钥 和 密 文 之 间 的 
关系 复杂 化 ， 使 明文 和 密 文 之 间 、 密 文 和 密 钥 之 间 的 统计 相关 性 极 小 化 ， 从 而 使 统计 分 
析 攻 击 法 不 能 奏效 。 他 用 “ 揉 面团 ”过 程 来 形象 地 比喻 “扩散 ”和 “混淆 ”概念 。 在 设 
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计 实 际 密码 算法 时 ， 需 要 巧妙 地 运用 这 两 个 概念 。 与 揉 面团 不 同 , 将 明文 和 密 钥 进行 “ 混 
合 ” 作 用 时 还 需 满足 两 个 条 件 : 一 是 变换 必须 是 可 逆 的 ， 并 非 任何 混淆 办 法 都 能 做 到 这 
点 ; 二 是 变换 和 反 变 换 过 程 应 当 简单 易 行 。 乘 积 密 码 有 助 于 实现 扩散 和 混淆 ， 选 择 某 个 
较 简单 的 密码 变换 ， 在 密 钥 控 制 下 以 迭代 方式 多 次 利用 它 进行 加 密 变 换 ， 就 可 实现 预期 
的 扩散 和 混淆 效果 。 当 代 提 出 的 各 种 分 组 密码 算法 ， 都 在 一 定 程度 上 体现 了 Shannon 构 
造 密码 的 这 些 重要 思想 。 


46 ”数据 加 密 标准 








数据 加 密 标 准 (DES) 中 的 算法 是 第 一 个 并 且 也 是 十 分 重要 的 现代 对 称 加 密 算 法 。 
197741 月, 美国 国家 标准 局 公布 了 DES， 它 是 用 于 非 保密 数据 〈 与 国家 安全 无 关 的 信 
息 ) 的 算法 ， 该 算法 在 世界 范围 内 已 经 得 到 了 广泛 的 应 用 ， 一 个 主要 的 例子 就 是 银行 用 
它 保护 资金 转账 安全 。 本 来 该 标准 被 批准 使 用 5 年 ， 但 由 于 它 经 受 住 了 时 间 的 考验 ， 随 
后 又 批准 了 3 个 5 年 的 使 用 期 。 


4.6.1 DES 介绍 


DES 是 分 组 密码 ， 其 中 的 消息 被 分 成 定 长 的 数据 分 组 ， 每 一 分 组 称 为 MR C 中 的 
一 个 消息 。 在 DES 中 ， 有 M =C={014， 天 ={0.135 ， 也 就 是 DES 加 密 和 解密 算法 输 
入 64b 明文 或 密 文 消息 和 56b 密 钥 ， 输 出 64b 密 文 或 明文 消息 。 

DES 的 运算 可 描述 为 如 下 3 步 : 

(1) 对 输入 分 组 进行 固定 的 “初始 置换 ”IP， 可 以 将 这 个 初始 置换 写 为 

(Z,,R,) < IP (Input Block) (4-26) 

XE LMR 称 为 “( 左 ， 右 ) 半分 组 >， 都 是 32b 的 分 组 。 注 意 ， 卫 是 固定 的 函数 
(也 就 是 说 ， 输 入 密 钥 不 是 它 的 参数 )， 是 公开 的 ， 因 此 这 个 初始 置换 在 密码 学 上 意义 
不 大 。 

(2) 将 下 面 的 运算 迭代 16 轮 (i=1,2,…,16) 

(4-27) 

R, © L ®f(R,k) (4-28) 
REKA RH”, 它 是 56b 输入 密 钥 的 一 个 48b HITE, FRI “SARAR ES” 
表示 代 换 ， 将 在 4.6.2 节 中 对 这 个 函数 进行 简单 描述 )， 是 一 个 代 换 密码 。 这 个 运算 的 特 
点 是 交换 两 半分 组 ， 就 是 说 ， 一 轮 的 左 半分 组 输入 是 上 一 轮 的 右 半 分 组 输出 。 交 换 运算 
是 一 个 简单 的 换 位 密码 〈 见 4.2.2 节 )， 目 的 是 获得 很 大 程度 的 “信息 扩散 ” 本质 上 就 是 
获得 式 〈4-26) 中 香农 提出 的 模型 的 混合 特性 。 从 我 们 的 讨论 中 可 以 看 出 ，DES 的 这 一 
步 是 代 换 密码 和 换 位 密码 的 结合 。 

(3) 将 16 轮 迭 代 后 得 到 的 结果 (Li6,Rio) 输 入 到 IP 的 逆 置 换 来 消除 初始 置换 的 影响 ， 
这 一 步 的 输出 就 是 DES 算法 的 输出 ， 我 们 将 最 后 一 步 写 为 

Output Block <+ IP™ (Re, Le) (4-29) 
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请 特别 注意 IPT 的 输入 : 在 输入 IPT 以前，16 轮 和 欠 代 输出 的 两 个 半分 组 又 进行 了 一 
次 交换 。 

加 密 和 解密 算法 都 用 这 3 个 步骤， 仅 有 的 不 同 就 是 ， 如 果 加 密 算法 中 使 用 的 轮 密 钥 
是 ,,…,h。， 那 么 解密 算法 中 使 用 的 轮 密 钥 就 应 当 是 6,hs,…,h， 这 种 排列 轮 密 钥 的 
方法 称 为 “ 密 钥 表 ”， 可 以 记 为 

(Kl, kz, kie) = (kes ks, hk) (4-30) 

例 4-4 ”在 加 密 密 钥 kX 下， 将 明文 消息 m 加 密 为 密 文 消息 ce， 下 面 通过 DES 算法 来 
确认 解密 函数 的 正确 运行 ， 也 就 是 在 下 ，c 的 解密 将 输出 me 

解密 算法 首先 输入 密 文 c 作为 “输入 分 组 ”。 由 式 (4-26) 有 


(Li Ro) — IP(c) 
但 是 ， 因 为 e Sehr eI EE Pa AE “SEPA”, 由 式 (4-29) 有 
(Lh, Ri) < (Rigs Lig) (4-31) 
在 第 1 轮 中 ， 由 式 (4-27), IÈ (4-28) 和 式 (4-30), € 
LR, =Le 


R -L @ f (Roki) = Rie @ f (Leki) 

在 这 两 个 式 子 的 右边 ， 由 式 《4-27) 可 知 ， NZH R, ACRE: IÈ (4-28) 可 知 ， 
Ri 应 该 用 Ls © fR ko) 代替 。 根 据 密 钥 表 式 (4-30)，k =h。， 因 此 ， 上 面 两 个 式 子 
实际 上 是 下 面 的 两 个 : 

LeRs 
Ri [Ls ® f(Rys kip) OfRs,he)= Lis 
所 以 ， 在 第 1 轮 解密 以 后 得 到 
(LIRI) © (Ris: bs) 
因此 ， 在 第 2 轮 开始 ， 两 个 半分 组 是 (R,,L,)。 
在 随后 的 15 轮 中 ， 使 用 同样 的 验证 ， 将 获得 
(Ly, R3) © (Ris La),**, (Lios Ris) © (Ros Lo) 

从 16 FORE AR AE BU PAN EE EE (Lies Rig) WMH (Rig Lig) =(Zo,Ro)， 然 后 输 
AFJP? QER (4-29) 中 另外 一 次 的 交换 ) 来 消除 IPER (4-26) 中 的 影响 。 解 密 
函数 的 输出 确实 就 是 最 初 的 明文 分 组 m。 

已 经 证 明 : DES 加 密 和 解密 算法 确实 使 得 方程 式 (4-26) 对 于 所 有 的 me M 和 keK 

都 成 立 。 很 明显 ， 这 些 算法 的 运行 与 “S PA” INA 

i Ri 部 细节 及 密 钥 表 函数 无 关 。 
使 用 式 〈4-27) 和 式 〈4-28) 以 交换 的 方式 处 理 两 
了 个 半分 组 的 DES 和 迭代 称 为 Feistel 密码 。 图 4-12 给 出 了 
一 轮 Feistel 密码 的 交换 结构 。 最 初 是 由 Feistel 提出 了 
这 个 密码 。 像 以 前 提 到 的 那样 , 交换 特性 的 目的 是 为 了 
L R 获得 一 个 较 大 程度 上 的 数据 扩散 。 Feistel 密码 在 公 钥 密 
图 4-12 Feistel 密码 (一 轮 ) 码 学 中 也 有 重要 的 应 用 : 称 为 最 佳 非 对 称 加 密 填 充 
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(OAEP)。 其 在 结构 本 质 上 是 一 个 二 轮 的 Feistel 密码 。 


4.6.2 DES 的 核心 作用 : 消息 的 随机 非 线性 分 布 


DES 的 核心 部 分 是 在 “S 盒 函 数 ” 中。 正 是 在 这 里 DES 实现 了 明文 消息 在 密 文 消 
息 空间 上 的 随机 非 线 性 分 布 。 

在 第 i 轮 ，f(R,,,k) 做 下 面 的 两 个 子 运算 : 

(1) 通过 逐 比特 异 或 运算 ， 将 轮 密 钥 ; 与 半分 组 R,_ | 相 加 。 这 提供 了 消息 分 布 中 所 
需要 的 随机 性 。 

(2) 在 包含 8 个 “ 代 换 盒 ”(S 盒 ) 的 固定 置换 下 代 换 (i) 的 结果 ， 每 一 个 S fe 
一 个 非 线性 置换 函数 ， 这 就 提供 了 消息 分 布 中 所 需 的 非 线 性 。 

S 盒 的 非 线性 对 DES 的 安全 是 非常 重要 的 ， 注 意 到 代 换 密码 (例如 ， 有 随机 密 钥 的 
例 4-1) 在 一 般 情况 下 是 非 线性 的 ， 而 移 位 密码 和 仿 射 密码 是 线性 中 的 子 类 。 与 一 般 情 
况 相 比 ， 这 些 线性 子 类 不 仅 极 大 地 减 小 了 密 钥 空 间 ， 而 且 也 导致 了 生成 的 密 文 对 于 差分 
分 析 (DC) 技术 是 脆弱 的 [Biham 等 1991] 。DC 通过 利用 两 个 明文 消息 间 的 线性 差分 和 
两 个 密 文 消息 间 的 线性 差分 来 攻击 密码 ， 下 面 以 仿 射 密码 式 (4-6) 为 例 分 析 这 种 攻击 。 
假定 Malice (攻击 者 以 某 种 方式 知道 了 差分 mm ， 但 他 既 不 知道 m 也 不 知道 m, 
给 定 相 应 的 密 文 c=hm+k(mod NN),c'=hm'+h(mod N), Malice 可 以 计算 

kh=(c-c)/(m-m)(modN) 

HT k» Malice 进一步 找到 ,就 变 得 容易 多 了 , 例如， 如 果 Malice 有 一 个 已 知 的 明 
文 - 密 文 对 ， 他 就 能 够 找到 k, o Æ 1990 年 发 现 了 DC 以 后 ， 对 于 许多 已 知 的 分 组 密码 的 
攻击 ，DC 已 经 被 证 明 是 非常 有 效 的 ， 然 而 它 攻击 DES 并 不 是 非常 成 功 。 这 就 表明 DES 
的 设计 者 早 在 15 年 前 通过 S 盒 的 非 线 性 设计 就 已 采取 了 预防 DC 的 措施 。 

DES (事实 上 还 有 Feistel 密码 ) 的 一 个 有 趣 的 特点 就 是 函数 ACR ak) 中 的 S 盒 不 必 
是 可 逆 的 。 在 例 4-4 中 对 于 任意 的 SCR, k) 都 可 运行 加 密 和 解密 就 证 明了 这 一 点 ， 这 个 
特点 节约 了 DES 硬件 实现 的 空间 。 

本 书 将 省 略 对 S 盒 的 内 部 细节 、 密 钥 表 函数 和 初始 置换 函数 的 描述 ， 这 些 细节 超出 
了 本 书 的 范围 ， 有 兴趣 的 读者 可 在 文献 [Denning 1982] 中 找到 这 些 细节 。 


46.3 DES 的 安全 性 


在 DES 作为 加 密 标 准 提出 之 后 不 久 ， 学 者 们 就 开始 争论 DES 的 安全 性 。 其 详细 的 
讨论 和 历史 描述 可 以 在 各 种 密码 学 教科 书 中 找到 ， 如 文献 [Smid 等 1992]、[Stinson 1995] 
和 [Menezes 等 1997]。 后 来 , 人 们 越 来 越 清楚 , 这 些 讨论 找到 了 DES 的 一 个 主要 的 缺点 : 
DES 的 密 钥 长 度 较 短 。 这 被 认为 是 DES 仅 有 的 最 严重 的 弱点 , 针对 这 个 弱点 的 攻击 包括 
穷 举 测试 密 钥 ， 就 是 利用 一 个 已 知 的 明文 和 密 文 消息 对 ， 直 到 找到 正确 的 密 铀 ， 这 就 是 
所 谓 的 强力 或 穷 举 密 钥 搜索 攻击 。 

然而 ， 不 能 将 强力 密 钥 搜索 攻击 看 做 是 一 种 真正 的 攻击 ， 这 是 因为 密码 设计 者 不 仅 
已 经 预见 了 它 ， 而 且 希 望 这 是 对 手 仅 有 的 工具 ， 因 此 ， 假 设 攻击 者 仅 具有 20 世纪 70 年 
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代 的 计算 技术 ， 那 么 DES 是 一 种 十 分 成 功 的 密码 。 
克服 短 密 钥 缺 陷 的 一 个 解决 办 法 是 使 用 不 同 的 密 钥 , 多 次 运行 DES 算法 ,那样 的 一 
个 方案 称 为 加 密 - 解 密 -加 密 3 E DES 方案 [Tuchman 1979]。 这 个 方案 中 的 加 密 记 为 
c & E, (D, (E, (m) 
解密 记 为 
m <+ D, (E,,(D,,(c))) 
除了 能 够 达到 扩大 密 钥 空间 的 效果 ,如 果 使 用 后 = k, ,这 个 方案 也 很 容易 与 单 钥 DES 
兼容 。3 E DES 也 可 以 使 用 3 个 不 同 的 密 钥 ， 但 这 时 它 与 单 钵 DES 不 兼容 。 
DES 的 短 密 钥 弱 点 在 20 世纪 90 年 代 变 得 明显 了 。 在 1993 年 ，Wiener 认为 花费 
1 000 000 美 元 可 以 造 一 个 特殊 用 途 的 VLSI DES 密 钥 搜索 机 ,给 定 一 个 明文 - 密 文 消息 对 ， 
预计 这 台 机 器 将 在 3.5h 之 内 找到 密 钥 。1998 年 7 月 15 日， 密码 学 研究 会 、 高 级 无 线 技 
术 协 会 和 电子 前 沿 基 金 会 Electronic Frontier Foundation, EFF) 联合 宣布 了 破 纪 录 的 
DES 密 钥 搜索 攻击 : 他 们 花 了 不 到 250 000 美元 构造 了 一 个 称 为 DES 解密 高 手 ( 也 称 做 
Deep Crack) 的 密 钥 搜索 机 ， 搜 索 了 56 h 后 成 功 地 找到 了 RSA 的 DES 挑战 密 钥 。 这 个 
结果 表明 : 对 于 一 个 安全 的 单 钥 密码 来 说 ， 在 20 世纪 90 年 代 后 期 的 计算 技术 背景 下 ， 
使 用 56b 的 密 钥 太 短 了 。 


47 高 级 加 密 标准 





1997 年 1 月 2 日 , 美国 国家 标准 和 技术 协会 (NIST) 宣布 征集 一 个 新 的 对 称 密 钥 分 
组 密码 算法 作为 取代 DES 的 新 的 加 密 标准 。 这 个 新 的 算法 被 命名 为 高 级 加 密 标准 (AES )。 
与 DES 的 封闭 设计 过 程 不 同 ， 在 1997 年 9 月 12 日 ， 正 式 地 公开 征集 AES 算法 ， 规 定 
了 AES 要 详细 说 明 一 个 非 保密 的 、 公 开 的 对 称 密 钥 加 密 算法 〈s); 算法 〈s) 必须 支持 
(至 少 ) 128b 的 分 组 长 度 ， 以 及 128b、192b 和 256b 的 密 钥 长 度 ， 强 度 应 该 相当 于 3 重 
DES， 但 是 应 该 比 3 重 DES 更 有 效 。 此 外 ， 如 果 算 法 〈s) 被 选中 ， 在 世界 范围 内 它 必 
须 是 可 以 免费 获得 的 。 

1998 年 8 月 20 日 , NIST 公布 了 15 个 AES 候选 算法 ， 这 些 算 法 由 遍布 世界 的 密码 
团体 的 成 员 提 交 。 公 众 对 这 15 个 算法 的 评论 被 当 作 这 些 算 法 的 初始 评论 (公众 的 初始 评 
论 期 也 称 为 第 1 轮 )， 第 1 轮 评选 到 1999 年 4 月 15 日 截止 。 根 据 收 到 的 分 析 和 评论 ， 
NIST 从 15 个 算法 中 选 出 $ 个 算法 ， 这 5 个 参加 决赛 的 候选 算法 是 MARS[Burwick 等 
1998]、RC6[Sidney 等 1998]、Rijindael[Daemen 等 1998]、Serpent[Anderson 等 1998] 和 
Twofish[Schneier 等 1998]。 这 些 参加 决赛 的 算法 在 又 一 次 更 深入 的 评论 期 〈 第 2 轮 ) 得 
到 进一步 的 分 析 。 在 第 2 轮 中 ， 要 征询 对 候选 算法 的 各 方面 的 评论 和 分 析 ， 这 些 方面 包 
括 密码 分 析 、 智 能 性 、 所 有 AES 决赛 候选 算法 的 剖析 、 综 合 评价 及 有 关 实 现 问题 ， 但 并 
不 限于 上 面 所 述 的 方面 。2000 年 5 月 15 A, 第 2 轮 公众 分 析 期 结束 以 后 ，NIST 研究 了 
所 有 可 得 到 的 信息 以 便 为 AES 做 出 选择 。2000 年 10 月 2 日 ，NIST 宣布 它 已 经 选中 了 
Rijndael 来 建议 作为 AES。 
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Rijndael 是 由 两 个 比利时 密码 学 家 Daemen 和 Rijmen 共同 设计 的 。 
4.7.1 Rijndael 密码 概述 


Rijndael 是 分 组 长 度 和 密 钥 长 度 均 可 变 的 分 组 密码 ， 密 钥 长 度 和 分 组 长 度 可 以 独立 
指定 为 128b、192b 或 256b。 为 简化 起 见 ， 只 讨论 密 钥 长 度 为 128b， 分 组 长 度 为 128b 
时 的 情形 。 所 限定 的 描述 无 损 于 Rijndael 密码 工作 原理 的 一 般 性 。 

在 这 种 情况 下 ，128b 的 消息 (明文 ， 密 文 ) 分 组 被 分 成 16 个 字 节 (一 个 字 节 是 8b, 
所 以 有 128=16X8 )， 记 为 

InputBlock = m,m, ,* ++, ms 
密 钥 分 组 如 下 : 
InputKey = kg, k, +,kis 
内 部 数据 结构 的 表示 是 一 个 4X4 和 矩阵 : 
m m mMm my, 


mM Ms My: Mi 


InputBlock = 
m Me Mo My 
m, m; My Ms 
ko ky ke ky 
& Re. Ky. Ke 
InputKey =| ' 5 ° P 
k, ke ko ku 
k k kı ks 


同 DES (以 及 最 现代 的 对 称 密 钥 分 组 密码 ) 一 样 ，Rijndael 算法 也 是 由 基本 的 变换 
单位 “ 轮 ” 多 次 迭代 而 成 ,在 消息 分 组 长 度 和 密 钥 分 组 均 为 128b 的 最 小 情况 ， 轮 数 
是 10， 当 消息 长 度 和 密 钥 长 度 变 大 时 ， 轮 数 也 应 该 相应 增加 。 有 关内 容 请 参阅 [NIST 
2001a]. 

Rijndael 中 的 轮 变换 记 为 


Round(State, RoundKey) 


这 里 State 是 轮 消息 矩阵 ， 既 被 看 做 输入 ,也 被 看 做 输出 ; RoundKey 是 轮 密 钥 矩阵 ， 
它 是 由 输入 密 钥 通 过 密 钥 表 导出 的 。 一 轮 的 完成 将 导致 State 的 元 素 改 变 值 (也 就 是 改变 
它 的 状态 )。 对 于 加 密 ( 对 应 解密 ), 输入 到 第 1 轮 中 的 State 就 是 明文 《对 应 密 文 ) 消息 
JERE InputBlock， 而 最 后 一 轮 中 输出 的 State 就 是 密 文 〈 对 应 明文 ) 消息 矩阵 。 

轮 (除了 最 后 一 轮 ) 变换 由 4 个 不 同 的 变换 组 成 ， 这 些 变换 是 将 要 介绍 的 内 部 函数 : 


Round(State,RoundKey) { 
SubBytes (State); 
ShiftRows (State) ; 
MixColumns (State) ; 
AddRoundKey (State, RoundKey): 
} 
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最 后 一 轮 有 点 不 同 ， 记 为 
FinalRound (State, RoundKey) 


它 等 于 不 使 用 Mixcolumns 函数 的 Round(State，RoundKey)， 这 类 似 于 DES 中 最 后 
一 轮 的 情形 ， 就 是 在 输出 的 半数 据 分 组 之 间 再 做 一 次 交换 。 

轮 变 换 是 可 逆 的 ， 以 便于 解密 ， 相 应 的 逆 轮 变换 分 别 记 为 

Round’ (state,RoundKey) 
和 

FinalRound? (State,RoundKey) 

下 面 可 看 到 4 个 内 部 函数 都 是 可 逆 的 。 

4.7.2 Rijndael 密码 的 内 部 函数 

现在 介绍 Rijndael 密码 的 4 个 内 部 函数 ， 因 为 每 个 内 部 函数 都 是 可 逆 的 ， 为 了 实现 
Rijndael 的 解密 ， 只 需要 在 相反 的 方向 使 用 它们 各 自 的 逆 就 可 以 了 ， 因 此 仅 在 加 密 方向 

Rijndael 密码 的 内 部 函数 是 在 有 限 域 上 实现 的 ， 包 上 的 所 有 多 项 式 模 不 可 约 多 项 式 

fx)=x +x +x +x+l 

就 得 到 了 这 个 域 。 明 确 地 说 ，Rijndael 密码 所 用 的 域 是 Falla aoa ， 这 个 域 中 的 元 素 
PE F, LKB F 8 的 多 项 式 ， 运 算是 模 f(x) 运算 ， 把 这 个 域 称 为 “Rijndael $k”. HH 
于 同 构 关 系 ， 经 常用 已, 来 表示 这 个 域 ， 这 个 域 中 有 2*(256) 个 元 素 。 

在 Rijndael 密码 中 ， 一 个 消息 分 组 (一 个 状态 ) 和 一 个 密 钥 分 组 被 分 成 字 节 。 这 些 
字 节 可 以 看 成 是 域 元 素 并 由 将 要 描述 的 几 个 Rijndael 内 部 函数 所 使 用 。 

1. 内 部 函数 SubBytes (State) 

这 个 函数 为 State 的 每 一 字 节 (也 就 是 x) 提供 了 一 个 非 线 性 代 换 ， 任 一 非 0 字 节 
xe (Fy) 被 下 面 的 变换 所 代 换 : 





(4-32) 


e 
ll 
Ra 
> 


这 里 


coor er ee eS 
corre ero 
on et ee me OO 
eee eRe 0o00 
OOOO 
一 -ooo-- 
ee ooon- =- 
er ooor eee 
oer ooore 
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如 果 x 是 0 字 节 ， 那 么 y=4b 就 是 SubBytes 变换 的 结果 。 
注意 在 式 (4-32) 中 变换 的 非 线 性 仅仅 来 自 于 逆 x"* ， 如 果 这 个 变换 直接 作用 于 x， 
那么 在 式 (4-32) 中 的 仿 射 方程 将 绝对 是 线性 的 。 
因为 8X8 常 数 矩 阵 4 是 可 逆 的 〈 也 就 是 说 ， 它 的 行 在 已, 中 是 线性 无 关 的 )， 所 以 在 
st (4-32) 中 的 变换 是 可 逆 的 ， 因 此 函数 SubBytes (State) EMI BY. 

2. 内 部 函数 ShitRows (State) 

这 个 函数 在 State 的 每 行 上 运算 ， 对 于 128b 分 组 长 度 的 情形 ， 它 的 变换 如 下 : 
Soo Son So2 So 3 Soo Sor Soz Sos 

b 





S, S, S, S, S, S, S, S, 

1,0 ul 1,2 3 || 2m 12 13 ho | (4.33) 
Szo Sa Saa Sog S22 S23 Sao Say 
S30 Sy S32 Sss S33 Szo Ssa S32 


这 个 运算 实际 上 是 一 个 换 位 密码 ， 它 只 是 重 排 了 元 素 的 位 置 而 不 改变 元 素 本 身 : 对 
于 在 第 i(i= 0,1,2,3) 行 的 元 素 ， 位 置 重 排 就 是 “循环 向 右 移动 ”4 三 个 位 置 。 

既然 换 位 密码 仅仅 重 排行 元 素 的 位 置 ， 那 么 这 个 变换 当然 是 可 北 的 。 

3. 内 部 函数 MixColumns (State) 

这 个 函数 在 State 的 每 列 上 作用 ， 所 以 对 于 式 〈4-33) 中 右边 矩阵 的 4 列 State, 
MixColumns(State)ii{t 4 次 。 下 面 只 描述 对 一 列 的 作用 ， 一 次 迭代 的 输出 仍 是 一 列 。 

首先 ， 令 


是 式 〈4-33) 中 右边 矩阵 中 的 一 列 。 注 意 ， 为 了 表述 清楚 ， 已 经 省 略 了 列 数 。 
把 这 一 列表 示 为 3 次 多 项 式 : 
s(x) =5,%° +55x7 +t 
注意 到 因为 s(x) 的 系数 是 字 节 , 也 就 是 已, 中 的 元 素 , 所 以 这 个 多 项 式 是 在 天 ,上 的 ， 
因此 不 是 Rijndael 中 的 元 素 。 
列 s(x) 上 的 运算 定义 为 将 这 个 多 项 式 乘 以 一 个 固定 的 3 次 多 项 式 c(x) ， 然 后 模 


xt +l: 





c(x): s(x)\(modx* +1) (4-34) 
这 里 固定 的 多 项 式 c(x) 是 
c(x) Sex + Cx +O,X4Cy ='03'x? +'01'x? +'01'x +'02' 
c(x) ABBE Fa 中 的 元 素 〈 以 十 六 进 制 表示 字 节 或 域 元 素 )。 
注意 到 式 (4-34) 中 的 乘法 不 是 Rijndael 域 中 的 运算 : c(x) 和 s(x) 甚至 不 是 Rijndael 
域 中 的 元 素 。 而 且 因 为 x*+1 在 上 可 约 (x*+1=(x+1)*)， 在 式 (4-34) 中 的 乘法 甚至 
不 是 任何 域 中 的 运算 。 进 行 乘法 模 一 个 4 次 多 项 式 的 仅 有 的 理由 就 是 为 了 使 运算 输出 一 
个 3 次 多 项 式 ， 也 就 是 说 ， 为 了 获得 一 个 从 一 列 (3 次 多 项 式 ) 到 另 一 列 (3 次 多 项 式 ) 
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的 变换 ， 这 个 变换 可 以 看 做 是 使 用 已 知 密 钥 的 一 个 多 表 代 换 (乘积 ) 密码 。 
可 使 用 长 除法 来 验证 下 面 在 上 计算 的 方程 (注意 到 在 这 个 环 中 减法 与 加 法 等 同 ): 
x (mod x* +1) =x'™"* 
因此 , ER (4-34) 的 乘积 中 ，x'(i=0,1,2,3) 的 系数 一 定 是 满足 j+k=imod4 H cjs, 
的 和 (这 里 j,k=0,1,2,3 )， 例 如 ， 在 乘积 中 x? 的 系数 是 
CySq + CS, + CoS, +353 
因为 乘法 和 加 法 都 在 已 ,中 ,所 以 很 容易 验证 式 (4-34) 中 的 多 项 式 乘法 可 由 下 面 的 
线性 代数 式 给 出 
do) la ce a aNs) ('02' '03' or 'O1'\(s, 
d| |a ee elsl on "02" 103" or |f s as 
d| la ceo clls,| ['or 'or '02' '03'||s, 
d) le co a ajs) \'03' 'or 'or '02')\s, 
PER, AAE R Eea) EMH ERK, MOE AD) Pit 
c(x)"'(modx*+]) 是 存在 的 。 这 等 价 于 说 矩阵 式 (4-35) 中 的 变换 是 可 逆 的 。 
4. 内 部 函数 AddRoundKey (State, RoundKey) 
这 个 函数 仅仅 是 逐 字 节 、 逐 比特 地 将 RoundKey 中 的 元 素 与 State 中 的 元 素 相 加 ， 这 
里 的 “加 ”是 瓦 中 的 加 法 《也 就 是 逐 比 特异 或 )， 是 平凡 可 逆 的 ， 逆 就 是 自身 相 “ 加 ”。 
RoundKey 比特 已 经 被 列表 ， 也 就 是 说 ， 不 同 轮 的 密 钥 比 特 是 不 同 的， 它们 由 使 用 
一 个 固定 的 〈 非 秘密 的 )“ 密 钥 表 ” 方 案 的 密 钥 导出 ， 有 关 “ 密 钥 ” 表 的 细节 请 参阅 [NIST 
2001a，2001b]。 
到 此 为 止 ， 已 经 完成 了 Rijndael 内 部 函数 的 描述 ， 因 此 也 完成 了 加 密 运 算 的 描述 。 
5. 解密 运算 
综 上 所 述 ，4 个 内 部 函数 都 是 可 逆 的 ， 因 此 解密 仅仅 是 在 相反 的 方向 反 演 加 密 ， 也 
就 是 说 ， 运 行 




















AddRoundKey (State, RoundKey) ?; 


MixColumns (State) 1; 


ShiftRows (State) +; 


SubBytes (State) *; 


应 当 注意 , 它 与 Feistel 密码 不 同 : Feistel 密码 的 加 密 和 解密 可 以 使 用 同样 的 电路 ( 硬 
和 代码 (软件 )， 而 Rijndael 密码 的 加 密 和 解密 必须 分 别 使 用 不 同 的 电路 和 代码 。 
结束 对 Rijndael 密码 描述 之 前 ， 对 4 个 内 部 函数 的 功能 给 出 一 个 小 结 。 
(1) SubBytes 目的 是 为 了 得 到 一 个 非 线性 的 代 换 密码 。 对 于 分 组 密码 抗 差 分 分 析 来 
说 ， 非 线性 是 一 个 重要 的 性 质 。 

(2) ShiftRows 和 MixColumns 目的 是 获得 明文 消息 分 组 在 不 同位 置 上 的 字 节 的 混 
合 。 有 代表 性 的 比如 ， 由 于 在 自然 语言 和 商业 数据 中 包含 的 高 匈 余 导 致 的 明文 消息 在 消 
息 空间 有 一 个 低 粹 分 布 ( 也 就 是 说 ， 典 型 的 明文 集中 在 整个 消息 空间 中 的 一 个 较 小 的 子 
空间 中 ), 而 消息 分 组 中 不 同位 置 上 的 字 节 的 混合 导致 了 消息 在 整个 消息 空间 中 更 广 的 分 
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布 。 这 本 质 上 就 是 香农 提出 的 混合 特性 。 

(3) AddRoundKey 给 出 了 消息 分 布 所 需 的 秘密 随机 性 。 

这 些 函数 重复 多 次 〈 在 128b 密 钥 和 数据 长 度 的 情形 下 ， 至 少 要 重复 10 次 ) 以 后 ， 
就 构成 了 Rijndael 密码 。 

4.7.3 AES 密码 算法 

在 Rijndael 算法 中 ， 分 组 长 度 和 密 钥 长 度 均 能 分 别 被 指定 为 128b、192b 或 256b。 
在 高 级 加 密 标准 规范 中 ， 密 钥 的 长 度 可 以 使 用 三 者 中 的 任意 一 种 ， 但 分 组 长 度 只 能 是 
128b。 高 级 加 密 标准 中 众多 参数 与 密 钥 长 度 (参见 表 4-3) 有 关 。 在 本 章 中 ， 假 定 密 钥 
的 长 度 为 128b， 这 可 能 是 使 用 最 广泛 的 实现 方式 。 图 4-13 中 是 AES 的 完整 结构 。 

#43 AES 的 参数 


密 钥 长 度 (word/byte/bit) 4/16/128 6/24/192 8/32/256 
分 组 长 度 Cword/byte/bit) 4/16/128 4/16/128 4/16/128 








‘em o | œx 14 
每 轮 的 密 钥 长 度 Cword/byte/bit) 4/16/128 4/16/128 4/16/128 








扩展 密 钥 长 度 (word/byte) 44/176 52/208 60/240 


1. AES 加 密 算 法 

加 密 算 法 的 输入 分 组 和 解密 算法 的 输出 分 组 均 为 128b。 在 FIPS PUB 197 中 ， 输 入 
分 组 是 用 以 字 节 为 单位 的 正方 形 矩阵 描述 的 。 且 该 分 组 被 复制 到 State 数组 , 这 个 数组 在 
加 密 或 解密 的 每 个 阶段 都 会 被 改变 。 在 执行 了 最 后 的 阶段 后 , State 被 复制 到 输出 矩阵 中 。 
这 些 操 作 在 图 4-13 Cad 中 描述 。 同 样 ，128b 的 密 钥 也 是 用 以 字 节 为 单位 的 矩阵 描述 的 。 
然后 这 个 密 钥 被 扩展 成 一 个 以 字 为 单位 的 密 钥 序列 数组 ; 每 个 字 由 4 个 字 节 组 成 ，128b 
的 密 钥 最 终 扩展 为 44 个 字 的 序列 (参见 图 4-13 (b))。 注 意 在 矩阵 中 字 节 排列 顺序 是 从 












































-E v: >s Waa) Wa3 



































(b) 密 钥 和 扩展 密 钥 
图 4-13 AES 的 数据 结构 
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上 到 下 、 从 左 到 右 排列 的 。 加 密 算 法 中 每 个 128b 分 组 输入 的 前 4 个 字 节 被 按 顺序 放 在 了 
in 矩阵 的 第 1 列 ， 接 着 的 4 个 字 节 放 在 了 第 2 列 ， 等 等 。 同 样 ， 扩 展 密 钥 的 前 4 个 字 节 


ADF) BEBE w ERER 1 列 。 
明文 密 钥 明文 





图 4-14 AES 的 加 密 与 解密 


2. AES 解密 算法 

AES 的 解密 算法 和 加 密 算法 不 同 (参见 图 4-14)。 尽 管 在 加 密 和 解密 中 密 钥 扩展 的 
形式 一 样 ， 但 在 解密 中 变换 的 顺序 与 加 密 中 变换 的 顺序 不 同 。 其 缺点 在 于 对 同时 需要 加 
密 和 解密 的 应 用 而 言 ， 需 要 两 个 不 同 的 软件 或 固件 模块 。 然 而 ， 解 密 算法 的 一 个 等 价 版 
本 与 加 密 算法 有 同样 的 结构 。 这 个 版 本 与 加 密 算 法 的 变换 顺序 相同 〈 用 道 变换 取代 正 向 
变换 )。 为 了 达到 这 个 目标 ， 需 要 对 密 钥 扩展 进行 改进 。 


— 110 m= 


ms 第 4 章 单 ( 私 ) 钥 密码 体制 











两 处 改进 使 解密 算法 的 结构 与 加 密 算 法 的 结构 一 致 。 在 加 密 过 程 中 ， 其 轮 结构 为 字 
节 代 换 、 行 移 位 、 列 混淆 和 轮 密 钥 相 加 。 在 标准 的 解密 过 程 中 ， 其 轮 结构 为 逆向 行 移 位 、 
逆向 字 节 代 换 、 轮 密 钥 加 和 逆向 列 混淆 。 因 此 ， 在 解密 轮 中 的 前 两 个 阶段 应 交换 ， 后 两 
个 阶段 也 需要 交换 。 


4.7.4 AES 的 密 钥 扩展 


1. 密 钥 扩 展 算法 
AES 密 钥 扩 展 算法 的 输入 值 是 4 个 字 (16B)， 输 出 值 是 一 个 44 个 字 (176B) 的 一 
维 线性 数组 。 这 足以 为 算法 中 的 初始 Add Round Key 阶段 和 其 他 10 轮 中 的 每 一 轮 提 供 4 
个 字 (word) 的 轮 密 钥 。 下 面 用 伪 代 码 描述 了 这 个 扩展 : 
KeyExpansion (byte key[16], word w[44]) 
{ 
word temp; 
for (i=0; i<4; i++) 
w[i]= (key[4*i], key[4*it1], key[4*i+2], key[4*i+3]); 
for (i=4; i<44; i++) 
{ 
temp=w[i-1]; 
if (i mod 4=0) 
temp=SubWord (RotWord (temp) ) ®Rcon[i/4]; 
w[i]=w[i-4] ®temp; 
} 
} 


输入 密 钥 直接 被 复制 到 扩展 密 钥 数组 的 前 4 个 字 。 
然后 每 次 用 4 个 字 填 充 扩展 密 钥 数 组 余下 的 部 分 。 在 
扩展 密 钥 数组 中 ，w 四 的 值 依赖 于 w[i-1] 和 w[i-4]。 在 
4 个 情形 中 , 3 MEHTAR. XF w 数组 中 下 标 为 4 的 
倍数 元 素 采 用 了 更 复杂 的 函数 来 计算 。 图 4-15 阐明 了 
如 何 计算 扩展 密 钥 数组 的 前 8 个 字 节 , 其 中 使 用 符号 g E ne 
来 表示 这 个 复杂 函数 。 函 数 g 由 下 述 的 字 功 能 组 成 : 

(1) 字 循 环 的 功能 是 使 一 个 字 中 的 4 个 字 节 循环 
左 移 一 个 字 节 。 即将 输入 字 [50, bl, b2, b3] 变 换 成 [b1， 
b2, b3, b0]。 

(2) 字 节 代 换 利用 S 盒 对 输入 字 中 的 每 个 字 节 进 
行 字 节 代 换 。 4-15 AES 密 钥 扩展 

G) 步骤 1 和 步骤 2 的 结果 再 与 轮 常 量 ReconD]] 相 
异 或 。 

轮 常量 是 一 个 字 , 这 个 字 最 右边 的 3 个 字 节 总 为 0 因此 与 Reon 中 的 一 个 字 相 异 或 ， 
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其 结果 只 是 与 该 字 最 左边 的 那个 字 节 相 异 或 。 每 轮 的 轮 常量 均 不 同 ， 其 定义 为 
Reon[ j]=(RC[/]> 0, 0, 0), 其 中 RC[1]=1, RC[ 让 2 "RC[j-1] (乘法 是 定义 在 域 GF(28))。 
RC[ 有 的 值 按 十 六 进 制 表示 为 
| 
| cm | o 








2 
02 
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例如 ， 假 设 第 8 轮 的 轮 密 钥 为 
EA D2 73 21 B5 8D BA D2 31 2B F5 60 7F 8D 29 2F 


那么 第 9 轮 的 轮 密 钥 的 前 4 个 字 节 《【 第 1 列 ) 能 按 如 下 的 方式 计算 : 


® wli-4] 





ee es es | 


2. 评价 

Rijndael 的 开发 者 设计 了 密 钥 扩 展 算法 来 防止 已 有 的 密码 分 析 攻 击 。 使 用 与 轮 相关 
的 轮 常量 是 为 了 防止 不 同 轮 中 产生 的 轮 密 钥 的 对 称 性 或 相似 性 。 文 献 [Deamen 等 1999] 
中 使 用 的 标准 如 下 : 

(1) 知道 密 钥 或 轮 密 钥 的 部 分 位 不 能 计算 出 轮 密 钥 的 其 他 位 。 

(2) 它 是 一 个 可 逆 的 变换 〈 即 知道 扩展 密 钥 中 任何 连续 的 Nk 个 字 能 够 重新 产生 整 
个 扩展 密 钥 NK 是 构成 密 钥 所 需 的 字数 ))。 

(3) 能 够 在 各 种 处 理 器 上 有 效 地 执行 。 

(4) 使 用 轮 常 量 来 排除 对 称 性 。 

(5) 将 密 钥 的 差异 性 扩散 到 轮 密 钥 中 的 能 力 ， 即 密 钥 的 每 位 能 影响 到 轮 密 钥 的 一 
些 位 。 

(6) 足够 的 非 线性 以 防止 轮 密 钥 的 差异 完全 由 密 钥 的 差异 所 决定 。 

(7) 易于 描述 。 

作者 并 未 量化 上 述 列表 的 第 一 点 ， 但 指出 了 如 果 你 知道 的 密 钥 或 在 某 个 轮 密 钥 中 少 
于 Nk 个 连续 字 ， 那 么 将 难于 构造 出 其 余 的 未 知 位 。 知 道 密 钥 的 位 数量 越 少 就 越 难于 重 
构 出 或 推测 出 密 钥 扩 展 中 的 其 他 位 。 


4.7.5 AES 对 应 用 密码 学 的 积极 影响 


AES 的 引入 又 为 应 用 密码 学 带 来 几 个 积极 的 变化 。 首先， 随 着 AES 的 出 现 , 多 重 加 
密 ， 例 如 3 重 DES， 已 成 为 不 必要 的 了 。 加 长 和 可 变 的 密 钥 及 128b，192b 和 256b 的 数 
据 分 组 长 度 为 各 种 应 用 要 求 提供 了 大 范围 可 选 的 安全 强度 。 由 于 多 重 加 密 多 次 使 用 密 钥 ， 
那么 避免 使 用 多 重 加 密 就 意味 着 实用 中 必须 使 用 的 密 钥 数 目的 减少 ， 因 此 可 以 简化 安全 
协议 和 系统 的 设计 。 
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其 次 ，AES 的 广泛 使 用 将 导致 同样 强度 的 新 的 杂凑 函数 的 出 现 。 在 某 些 情形 下 ， 分 
组 加 密 算 法 与 杂凑 函数 密切 相关 ( 见 第 6 章 ), 分 组 加 密 算法 经 常 被 用 来 作为 单 向 杂凑 函 
数 ， 这 已 经 成 为 一 种 标准 应 用 。UNIX 操作 系统 的 登录 认证 协议 就 是 一 个 著名 的 例子 。 
另外 ， 利 用 分 组 加 密 算 法 可 以 实现 单 向 杂凑 函数 。 实 用 中 ， 杂 凑 函 数 也 经 常 被 用 来 为 分 
组 密码 算法 生成 密 钥 的 伪 随 机 数 函数 。 由 于 AES 可 变 、 加 长 的 密 钥 和 数据 分 组 长 度 ， 将 
需要 相同 输出 长 度 的 杂凑 函数 。 然 而 ， 由 于 平方 根 攻 击 〈 生 日 攻击 )， 杂 凑 函 数 的 长 度 应 
该 是 分 组 密码 密 钥 或 数据 分 组 长 度 的 两 倍 , 因 此 将 需要 与 128b，192b 和 256b 的 AES 长 
度 相 匹配 的 256b, 384b 和 512b 输出 长 度 的 新 的 杂凑 函数 。ISO/IEC 现在 正在 进行 杂凑 
函数 SHA-256，SHA-384 和 SHA-512 的 标准 化 工作 [ISO/TEC 2001]. 

正如 DES 标准 吸引 了 许多 试图 攻破 该 算法 的 密码 分 析 家 的 注意 , 并 促进 了 分 组 密码 
分 析 的 认识 水 平 的 发 展 一 样 , 作为 新 的 分 组 密码 标准 的 AES 也 将 再 次 引起 分 组 密码 分 析 
中 的 高 水 平 研究 ， 这 必 将 使 得 人 们 对 该 领域 的 认识 水 平 得 到 进一步 的 提高 。 


48 ”中 国 商 用 分 组 密码 算法 SM4 








2006 年 我 国 国家 密码 管理 局 公布 了 无 线 局 域 网 产品 使 用 的 SM4( 原 名 SMS4) 密码 
算法 ， 这 是 我 国 第 一 次 公布 自己 的 商用 密码 算法 。 这 一 举措 标志 着 我 国 商用 密码 管理 更 
加 科学 化 、 规 范 化 和 国际 化 , SM4 的 公布 在 我 国 商用 密码 的 产业 发 展 中 具有 里 程 碑 意 义 。 


4.8.1 SM4 密码 算法 


SM4 是 分 组 长 度 和 密 钥 长 度 均 为 128 比特 的 32 轮 欠 代 分 组 密码 算法 ， 它 以 字 节 和 
字 为 单位 对 数据 进行 处 理 。SM4 解密 算法 与 加 密 算法 的 结构 相同 ， 只 是 轮 密 钥 的 使 用 顺 


1. 基本 运算 

A) SM4 使 用 模 2 加 和 循环 移 位 运算 

® 模 2 加 : ©, 32 比特 异 或 运算 ; 

@ 循环 移 位 ，<<< i，32 比特 循环 左 移 i 位 。 

(2) 置换 运算 : SA 

S 盒 是 一 种 固定 的 8 比特 输入 、8 比特 输出 的 置换 运算 ， 记 为 Sbox(. )， 它 的 密码 学 
作用 是 起 混淆 作用 。S 盒 的 置换 运算 如 表 4-4 所 示 。 例 如 ，5 盒 的 输入 为 gg， 则 5S 盒 的 
输出 为 表 4-4 中 第 9 行 与 第 a 列 的 交点 处 的 值 32。 即 ，Sbox(9a)=32。 

(3) 非 线 性 变换 

z 是 一 种 以 字 为 单位 的 非 线性 变换 , 它 由 4 个 并 行 的 8 盒 构成 。 设 输入 为 A= (ao a, 
a, 03)， 输 出 为 B= (bo, bi, b2, bs), W 

B=1(A) = (Sbox(ao), Sbox(al), Sbox(az), Sbox(a3)) 
(4) 线性 变换 工 
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区 是 以 字 为 单位 的 线性 变换 ， 它 的 输入 、 输 出 都 是 32 位 的 字 。 其 密码 学 的 作用 是 起 
扩散 作用 。 设 输入 为 字 B ， 输 出 为 字 C ， 则 
C =L(B) = BO(B<<<2) @(B<<<10) @(B<<<18) @(B<<<24) 
(5) 合成 变换 了 
7 由 非 线 性 变换 r 和 线性 变换 工 复合 而 成 ， 数 据 处 理 单位 是 字 ， 即 T. ) = Zr( . ))。 
它 在 密码 学 中 起 到 了 混淆 和 扩散 的 作用 ， 因 而 可 以 提高 安全 性 。 
#44 ER 
低 


4 5 6 7 
ce | el | 3d | b7 
2a | be | 04 | c3 
- 


pat foo Las fs fo fas Lf fas fo 02 
(6) 轮 函数 所 


轮 函数 正 采 用 非 线 性 迭代 结构 ， 以 字 为 单位 进行 加 密 运算 ， 称 一 次 迭代 运算 为 一 轮 
变换 。 设 下 的 输入 为 Cto, Xi Xo X) 4 个 32 位 字 ; 轮 密 钥 为 rk，rk 也 是 一 个 32 位 字 。 
轮 函 数 的 运算 式 为 : 
















































































0 
1 
2 
3 
4 
5 
6 
7 
8 
9 
a 
b 
C 
d 



































F(X, Xi, X2, X3, rk) = XoBT(M1@ X29 X3Ork) 
{E B = (X10 XO 各 @rh)， 再 由 合成 变换 T 可 展开 为 非 线 性 变换 7 与 线性 变换 工 ， 
可 以 得 到 
F(Xo, Xi, X2, X3, rk) = XoS[Sbox(B)] [Sbox(B)<<<2] ®[Sbox(B)<<<10] 
@[Sbox(B)<<<18] ®[Sbox(B)<<<24] 
2. 加 密 算法 
SM4 加 密 算法 的 数据 分 组 长 度 为 128 比特 ， 密 钥 长 度 也 为 128 比特 。 加 密 算 法 采 / 
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32 轮 和 迭代 结 构 ， 每 一 轮 迭 代 使 用 一 个 轮 密 钥 。 完 整 的 加 密 过 程 包括 加 密 算 法 和 反 序 变换 
两 部 分 ， 如 图 4-16 所 示 。 


































































































加 密 算法 | 反 序 变换 
明文 =] | 
| 
Xo x, X X X X; iliti Xl Xy Xo] a Xs i Yo Y, | Y, Y; 
Į i 
| | 
rko | F \ 密 文 
1 1 | 
1 
| 


rk bel F rkaj F 


图 4-16 SM4 的 加 密 算法 与 反 序 变换 





























(1) 加 密 算法 

设 输入 明文 为 Xo, 名, Xo 及)，4 个 32 位 字 。 输 入 轮 密 钥 为 rh，i= 0,1,…,31， 共 32 
个 字 。 加 密 算法 可 描述 如 下 : 

Xina = F(X), Xiri, X n2, Xis, rki) =X TXO Xim Xm Orki) 

结合 图 4-16，SM4 每 一 轮 加 密 处 理 4 NEX, Xin, Xan Xin) HESAR PE 
密 文 中 44， 这 个 中 间 密 文 与 前 3 个 字 ( 着 11, 半 i#+2, 半 i13) 拼 接 在 一 起 供 下 一 轮 加 密 处 理 。 这 
样 的 加 密 处 理 共 迭代 32 轮 ， 最 终 产 生出 4 个 字 的 准 密 文 (X32, X33, X34, X35)0 

(2) 反 序 变换 R 

反 序 变换 R 的 输入 是 准 密 文 (X32, X33, X34, X35)» HATE FIC (Yo, Vi, Yo, Y3) FAKE M 
如 下 : 

R(X32, X33, X34, X35)= (X35, X34, X33, X32) = (Yo, Yı, Y2, Y3) 

3. 解密 算法 

SM4 的 解密 与 加 密 的 流程 相同 ， 包 括 解密 算法 和 反 序 变换 两 部 分 ， 不 同 的 仅 是 轮 密 
钥 的 使 用 顺序 相反 ， 加 密 时 轮 密 钥 使 用 顺序 为 (rko, rki, rka1)， 则 解密 时 轮 密 钥 的 使 用 
顺序 为 (rka, rkso…, ri)， 如 图 4-17 所 示 。 

解密 算法 1 ” 反 序 变换 


1 


ki 11 | 




























































































1 1 
rko F rk F 


图 4-17 SM4 的 解密 算法 与 反 序 变 换 








p 上 
Xss X32 | X31] X50 | X| X% AE Xo | Mo M| m M; 
fi 也 
1 
1 
rki F ! 明文 
1 
1 
1 
1 



































(1) 解密 算法 
为 了 便于 读者 与 加 密 算法 对 照 ， 解 密 算法 中 仍然 使 用 蕊 表 示 密 文 ，i = 31,30…,1,0。 
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X= F(Xina, Xirs, X42, X is, rki) = Xa O (Xir O Xin Xim rk) 


(2) 反 序 变换 R 
设 输出 的 明文 为 (Mo, Mi, M, Ms)， 反 序 变 换 如 下 : 


R(X3, X2, X1, Xo) = (Xo, X1, X2, X3) = (Mo, Mi, Mo, M3) 


4.8.2 SM4 密 钥 扩展 算法 


SM4 的 加 算法 中 ， 采 用 了 32 Fie GES, ARTE “Ma, 





需要 32 个 轮 密 钥 , 这 些 轮 密 钥 由 加 密 密 钥 通过 密 钥 扩展 算法 生成 。 密 钥 扩 展 中 使 用 了 以 


下 两 组 参数 : 
(1) 系统 参数 FK 
系统 参数 FK 的 取 值 ， 采 用 十 六 进 制 表示 : 


FK, =(43B1BAC6)> FK,=(56443350), FK,=(677D9197), FK, =(B27022DC) 


(2) 固定 参数 CK 


CKi 是 一 个 字 ， 密 钥 扩 展 中 共 使 用 了 32 个 CKi。 设 ckxv 为 CKi; 的 第 j 个 字 节 (i = 


0,1,…,31;7=0,1,2,3)， 即 CKi= (ckio, cki1, cki2, cki3)， 则 
ckij= (4i +) X 7 (mod 256) 


这 32 个 固定 参数 CKi 的 十 六 进 制 表示 如 下 : 


00070e15 1¢232a31, 383£464d, 
70777e85, 8c939aal, a8afb6bd, 
e0e7eef5, fc030a11, 181f262d, 
50575e65, 6c737a81, 888f969d, 
cOc7ced5, dce3eafl , f8ff060d, 


30373e45, 4c535a61, 686f767d, 
aQa7aeb5, bece3cad1, d8dfe6ed, 
10171e25, 2c333a41， 484f565d, 


545b6269, 
c4cbd2d9, 
343b4249, 
a4abb2b9, 
141b2229, 
848b9299, 
£4fb0209, 

646b7279. 


设 密 钥 扩展 算法 中 输入 的 加 密 密 钥 为 MK = (MKo, MKi, MK2, MK3)， 输 出 轮 密 钥 为 
tk;，i=0,1,…,30,31， 中 间 数 据 为 K;，i =0,1,…,34,35。 密 钥 扩 展 算法 分 为 以 下 两 步 : 
(1) (Ko, Ki, K2, K3) = (MKo®FKo, MK,\®FK,, MKy®BFK,, MK3GFK3) 


(2) 对 于 i =0,1,…,30,31 执 行 以 下 操作 : 





tk; = Kaa = Kj ® T' (Kn® Kin® Ki3®CK;) 


注意 这 里 的 T' 变换 与 加 密 算法 轮 函 数 的 了 基本 相同 ,只 是 将 其 中 的 线性 变换 工 修改 


AL: 


L' (B) = B @ (B<<<13) @( B<<<23) 
SM4 密 钥 扩 展 算法 也 需要 采用 32 轮 的 迭代 处 理 。 算 法 中 涉及 的 非 线性 变换 将 极 大 


地 提高 密 钥 扩 展 的 安全 性 。 
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4.8.3 SM4 的 安全 性 


SM4 密码 算法 是 我 国 官方 公布 的 第 一 个 商用 密码 算法 Chttp://www.oscea.gov.cn), 其 
主要 目的 是 加 密 与 保护 静态 储存 和 传输 信道 中 的 数据 ， 它 广泛 应 用 于 无 线 局 域 网 产品 。 

从 算法 设计 上 看 ，SM4 在 计算 过 程 中 增加 了 非 线 性 变换 ， 理 论 上 能 大 大 加 强 算法 的 
安全 性 ，S 盒 的 引入 使 得 该 算法 在 非 线 性 度 、 运 算 速度 、 差 分 均匀 性 、 自 相关 性 等 主要 
密码 学 指标 方面 都 具有 相当 的 优势 。 近 年 来 , 国内 外 密码 学 者 对 SM4 进行 了 充分 的 分 析 
与 实验 ， 例 如 ， 利 用 复合 域 实现 8 盒 以 降低 硬件 开销 ; 对 S 盒 进 行 差分 故障 攻击 ， 以 显 
IR SM4 抵抗 故障 攻击 的 能 力 ; 对 国 密 SM4 与 SM2 混合 密码 算法 进行 研究 与 实现 ， 以 提 
高 加 密 速度 与 降低 密 钥 管理 成 本 。 这些 研究 致力 于 SM4 的 低 复杂 度 实现 、 混合 加 密 技术 
的 商用 化 、SM4 抗 攻 击 能 力 的 增强 等 方面 ， 这 些 研究 成 果 对 我 们 改进 SM4 密码 和 设计 
新 密码 都 是 有 帮助 的 。 FS, 我 国 国家 密码 管理 局 仍然 支持 SM4 密码 ， 它 的 广泛 应 用 为 
确保 我 国信 息 安 全 做 出 了 积极 贡献 。 


49 _ 分 组 密码 的 工作 模式 

















分 组 密码 将 消息 作为 数据 分 组 处 理 ( 加 密 或 解密 )。 一 般 来 讲 ， 大 多 数 消息 (也 就 是 
一 个 消息 串 ) 的 长 度 大 于 分 组 密码 的 消息 分 组 长 度 ， 长 的 消息 串 被 分 成 一 系列 的 连续 排 
列 的 消息 分 组 ， 密 码 机 一 次 处 理 一 个 分 组 。 

人 们 在 设计 了 基本 的 分 组 密码 算法 之 后 ， 紧 接着 设计 了 许多 不 同 的 运行 模式 。 这 些 
运行 模式 〈 除 去 其 中 平凡 的 情形 ) 为 密 文 分 组 提供 了 几 个 人 们 希望 得 到 的 性 质 ， 例 如 ， 
增加 分 组 密码 算法 的 不 确定 性 (随机 性 ); 将 明文 消息 添加 到 任意 长 度 〈 使 得 密 文 长 度 不 
必 与 相应 的 明文 长 度 相 关 ); 错误 传播 的 控制 ， 流 密码 的 密 钥 流 生 成 等 。 

这 里 描述 5 个 常用 的 运行 模式 ， 它 们 是 电码 本 CECB) 模式、 密码 分 组 链接 (CBC) 
模式 、 输 出 反馈 (OFB) 模式、 密码 反馈 (CFB) 模式 和 计数 器 (CTR) 模式 。 这 些 描 
述 是 根据 最 近 发 布 的 NIST 的 建议 书 [NIST 2001b] 做 出 的 。 

在 描述 中 ， 将 使 用 下 面 的 记号 。 

(1) EO: 基本 分 组 密码 的 加 密 算法 。 

(2) D( ): 基本 分 组 密码 的 解密 算法 。 

(3) n: 基本 分 组 密码 算法 的 消息 分 组 的 二 进 制 长 度 (在 所 有 考虑 的 分 组 密码 中 ， 明 
文 和 密 文 消 息 空间 是 一 样 的 ， 所 以 n 既是 分 组 密码 算法 输入 的 分 组 长 度 ， 也 是 输出 的 分 
组 长 度 )。 

(4) Py Py Ps 输入 到 运行 模式 中 明文 消息 的 m 个 连续 分 段 。 

® 第 mm 分 段 的 长 度 可 能 小 于 其 他 分 段 的 长 度 , 在 这 种 情况 下 ,可 对 第 m 分 段 添 加 ， 
使 其 与 其 他 分 段 长 度 相同 。 

© 在 某 些 运算 模式 中 ， 消 息 分 段 的 长 度 等 于 (分 组 长 度 )， 而 在 其 他 运算 模式 中 ， 
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消息 分 段 的 长 度 是 任意 小 于 或 等 于 的 正 数 。 
G) Ci,C,,…,C, : 从 运算 模式 输出 的 密 文 消息 的 m 个 连续 分 段 。 
(6) LSB,(B),MSB,(B): 分 别 是 分 组 8 中 最 低 w 位 比特 和 最 高 v 位 比特 ， 例 如 : 
LSB,(1010011) =11.MSB,(101001D =10100 
(7) AB: 数据 分 组 4 和 8B 的 链接 ， 例 如 : 
LSB,(101001D|MSB;(01001D) =11h0100=1110100 


4.9.1 电码 本 模式 


对 一 系列 连续 排列 的 消息 段 进行 加 密 (或 解密 ) 的 一 个 最 直接 方式 就 是 对 它们 逐个 
加 密 (或 解密 )。 在 这 种 情况 下 ,消息 分 段 恰 好 是 消息 分 组 。 由 于 类 似 于 在 电报 密码 本 中 
指定 码 字 ， 故 给 这 个 自然 而 简单 的 方法 起 了 一 个 正式 的 名 字 : 电码 本 模式 (ECB)， 如 
图 4-18 所 示 。ECB 模式 定义 如 下 : 

ECB 加 密 C, < E(P),i=1,2,,m o 

ECB 解密 P, <— D(C,),i=1,2,…,m。 






















































































Pi P, Py 
d 了 1 
K— WERE] 。 上 一 | 加 密 算法 E 上 一 | 加 密 算 法 E 
1 1 1 
G GQ Cy 
(a) 加 密 
Ġi © fom 
T 1 1 
K 一 一 解密 算法 D| 。 一 一 | 解密 算法 D| … 大 一 | 解密 算法 D 
1 1 1 
Pi Py Py 
(b) 解密 


图 4-18 电码 本 CECB) 模式 


ECB 模式 是 确定 性 的 ， 也 就 是 说 ， 如 果 在 相同 的 密 钥 下 将 P, 忆 ,…,P, 加 密 两 次 ， 那 
么 输出 的 密 文 分 组 也 是 相同 的 。 在 应 用 中 ， 数 据 通常 有 部 分 可 猜测 的 信息 ， 例 如 ， 薪 水 
的 数目 就 有 一 个 可 猜测 的 范围 。 如 果 明 文 消息 是 可 猜测 的 ， 那 么 由 确定 性 加 密 方 案 得 到 
的 密 文 就 会 使 攻击 者 通过 使 用 试 竣 法 猜测 出 明文 , 例如, 如果 知道 由 ECB 模式 加 密 产生 
的 密 文 是 一 个 薪水 数字 ， 那 么 攻击 者 只 需 少 量 的 试验 就 可 以 恢复 出 这 个 数字 。 通 常 不 希 
望 使 用 确定 性 密码 ， 因 此 在 大 多 数 应 用 中 不 要 使 用 ECB 模式 。 


4.9.2 ”密码 分 组 链接 模式 


密码 分 组 链接 (CBC) 运行 模式 是 用 于 一 般 数 据 加 密 的 一 个 普通 的 分 组 密码 算法 。 
使 用 CBC 模式 ， 输 出 是 nb 密码 分 组 的 一 个 序列 ， 这 些 密 码 分 组 链接 在 一 起 使 得 每 个 密 
码 分 组 不 仅 依赖 于 所 对 应 的 原文 分 组 ， 而 且 依赖 于 所 有 以 前 的 数据 分 组 。CBC 模式 进行 
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如 下 运算 : 
CBC 加 密 输入 : IV，P,P…,P,; 输出 : IV, C,C3,--C,, 3 
CG. <lV: 
C, + E(P,@C,,),i=1,2,--m; 
CBC 解密 输入 : IV, CCCa: 输出 : P,PB,…,P,:; 
CIV: 
P, + D(C) @C,,,i=1,2,--me 
第 一 个 密 文 分 组 Ci 的 计算 需要 一 个 特殊 的 输入 分 组 Co， 习 惯 上 称 之 为 “初始 向 量 ” 
AV). IV 是 一 个 随机 的 nb 分 组 ， 每 次 会 话 加 密 时 都 要 使 用 一 个 新 的 随机 IV， 由 于 IV 
可 看 成 密 文 分 组 ， 因 此 无 须 保密 ， 但 一 定 是 不 可 预知 的 。 由 加 密 过 程 知道 ， 由 于 IV 的 随 
机 性 ， 第 一 个 密 文 分 组 Ci 被 随机 化 ， 同 样 ， 依 次 后 续 的 输出 密 文 分 组 都 将 被 前 面 紧 接着 
的 密 文 分 组 随机 化 ， 因 此 ，CBC 模式 输出 的 是 随机 化 的 密 文 分 组 。 发 送 给 接收 者 的 密 文 
消息 应 该 包括 ITV。 因此 ， 对 于 m 个 分 组 的 明文 ，CBC 模式 将 输出 m 个 密 文 分 组 。 
令 0.,0,,…,0, 是 对 密 文 分 组 C,,C,C,,…,C 解密 得 到 的 数据 分 组 输出 ， 则 由 
Q, =D(C,)® C, =(P, @ C1) ® Cia =R 
可 知 ， 它 确实 正确 地 进行 了 解密 。 图 4-19 给 出 了 CBC 模式 的 图 示 。 


p mb 存储 i Í mb 存储 
E D J. 


图 4-19 ”密码 分 组 链接 模式 


4.9.3 ”密码 反馈 模式 


密码 反馈 CFB) 运行 模式 的 特点 在 于 反馈 相继 的 密码 分 段 ， 这 些 分 段 从 模式 的 输 
出 返回 作为 基础 分 组 密码 算法 的 输入 。 消 息 〈 明 文 或 密 文 ) 分 组 长 为 s， 其 中 1<s<n。 
CFB 模式 要 求 IV 作为 初始 的 nb 随机 输入 分 组 ， 因 为 在 系统 中 IV 是 在 密 文 的 位 置 中 ， 



























































CFB 模式 有 如 下 的 运算 : 
CFB 加 密 输入: IV, P,P, P: 输出 : IV, CCC, + 
lely: 
I, —LSB,_,(,,)IC,, i=2,3,…,m 
O < ElL) i=1,2,---,m 
C, + P, ® MSB, (0,) i=1,2,---,m 
CFB 解密 ”输入 : IV, CCC, + 输出 : P,PB,…,P,; 
hei; 
I < LSB, a) |C i=2,3,--,m 
O, < E(1,) i=1,2,-,m 
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P, eC,®MSB.(0,) i=12,…,m。 

在 CFB 模式 中 ， 基 本 分 组 密码 的 加 密 函 数 用 在 加 密 和 解密 的 两 端 。 因 此 ， 基 本 密码 
函数 EE 可 以 是 任意 (加 密 的 ) 单 向 变换 ， 例 如 单 向 杂凑 函数 。CFB 模式 可 以 考虑 作为 流 
密码 的 密 钥 流 生成 器 ， 加 密 变 换 是 作用 在 密 钥 流 和 消息 分 段 之 间 的 弗 纳 姆 密码 。 与 CBC 
模式 类 似 , 密 文 分 段 是 前 面 所 有 的 明文 分 段 的 函数 值 和 IV。 图 4-20 为 CFB 模式 的 图 示 。 






































































































































IV | —— Tt Cur _ ——_} 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
b-sfit | s 位 =y $s 位 b-sfit | s 位 
64 64 64 
64 64 64 
选择 丢弃 选择 丢弃 选择 丢弃 
si | bs 位 stù | bs 位 s 位 | 5-s 位 
P, s Py 加 Py A 
s Ss 
C CG Cu 
(a) 加 密 
Iv rf — 7 Cur ——_} 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
b-s 位 | s 位 b-s 位 | s 位 -位 | s 位 
64 64 64 
eT Ea mk 
64 s 64 64 
选择 丢弃 选择 丢弃 选择 丢弃 
$s 位 | b-sfit 3 位 | b-sfiz stil | b-sfiz 
Ss S s 
— b bia 
P, P, Pu 
(b) 解密 


图 4-20 ”密码 反馈 模式 


4.9.4 输出 反馈 模式 


输出 反馈 COFB) 运行 模式 的 特点 是 将 基本 分 组 密码 的 连续 输出 分 组 回 送 回去 。 这 
些 反馈 分 组 构成 了 一 个 比特 串 ， 被 用 做 弗 纳 姆 密码 的 密 钥 流 的 比特 串 ， 就 是 密 钥 流 与 明 
文 分 组 相 异 或 。 OFB 模式 要 求 IV 作为 初始 的 随机 nb 输入 分 组 。 因 为 在 系统 中 , IV 是 在 
密 文 的 位 置 中 ， 所 以 它 不 需要 保密 。OFB 模式 运算 如 下 。 
OFB 加 密 输入: IV，P,P…,P,; 输出 : IV, CoC Cn: 
L<lv: 
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LE O.4 i=2,3,---,m; 
O, < E(I;) i=1,2,---,m; 
C,- P.O, i=1,2,…,m o 
OFB 解密 ”输入 : IV，C,C,,…,C,; 输出 : P,P,…,P,; 

leI: 

1,<0,, i=2,3,-,m; 
O < 二 ED) i=1,2,-+-,m; 
P.<C,80, i=1,2,---,m. 


在 OFB 模式 中 , 加 密 和 解密 是 相同 的 : 将 输入 消息 分 组 与 由 反馈 电路 生成 的 密 钥 流 

相 异 或 。 反 馈 电路 实际 上 构成 了 一 个 有 限 状 态 机 ， 其 状态 完全 由 基础 分 组 密码 算法 的 加 

密 密 钥 和 IV 决定 。 所以， 如 果 密 码 分 组 发 生 了 传输 错误 ， 那 么 只 有 相应 位 置 上 的 明文 分 

组 会 发 生 错乱 ， 因 此 ，OFB 模式 适宜 不 可 能 重 发 的 消息 加 密 ， 如 无 线 电信 号 。 与 CFB 

模式 类 似 , 基础 分 组 密码 算法 可 用 加 密 的 单 向 杂凑 函数 代替 。 图 4-21 为 OFB 模式 的 图 示 。 
TV 一 = 二 4 or —_} 


移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
b-sfit | s 位 b-s 位 | stù bs 位 | s 位 
















































选择 ER 
$s 位 | b-sfit 


选择 丢弃 
stù | bs 位 









































































































P, S P, S 
s s 一 
CI CG 
(a) 加 密 
NV 六 一 Or = 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
b-sfit | s 位 b-sfù | stù b-sfit | s 位 
64 64 ra 
K—| më K = K 
64 s 64 64 
选择 丢弃 选择 丢弃 选择 丢弃 
s 位 | b-sfit $s 位 | bs 位 $s 位 | b-s 位 
5 Js $ 
ay s c 0 Cy 
1 
P, P, Py 
(b) 解密 


图 4-21 输出 反馈 模式 加密 和 解密 》 
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49.5 ”计数 器 模式 


计数 器 (CTR) 模式 的 特征 是 ， 将 计数 器 从 初始 值 开始 计数 所 得 到 的 值 馈 送 给 基础 
分 组 密码 算法 。 随 着 计数 的 增加 , 基础 分 组 密码 算法 输出 连续 的 分 组 来 构成 一 个 比特 串 ， 
该 比特 串 被 用 做 弗 纳 姆 密码 的 密 钥 流 ， 也 就 是 密 钥 流 与 明文 分 组 相 异 或 。CTR 模式 运算 
WF OXE Ctri 是 计数 器 初始 的 非 保密 值 )。 
CTR IN 输入: Cty, PPP: 输出: Ctr, C,,C,,--C,, + 
C, <P. ® E(Ctr,),i=1,2,---,m 
CTR 解密 ”输入 : Ctr, C,C,-°.C, + 输出 : B, Pye, P: 
PeC,@E(Ct),i=1,2,…,m 
因为 没有 反馈 ，CTR 模式 的 加 密 和 解密 能 够 同时 进行 ， 这 是 CTR 模式 比 CFB 模式 
和 OFB 模式 优越 的 地 方 。 图 4-22 为 CTR 模式 的 图 示 。 


Ctr, Ctr, Ctry 











Ed 加密] A 加 密 















































(b) 解密 
图 4-22 计数 器 (CTR) 模式 














习题 

一 、 填 空 题 

1. 密码 体制 的 语法 定义 由 以 下 6 部 分 构成 : 

、 和 ° 

2. 单 〈 私 ) 钥 加 密 体制 的 特点 是 ， 所 以 人 们 通常 也 称 其 为 对 称 加 密 体制 。 

3. 古典 密码 有 两 个 基本 工作 原理 : 和 

4. 对 明文 消息 的 加 密 有 两 种 : 一 种 是 将 明文 消息 按照 字符 (如 二 元 数字 ) 逐 位 地 加 
密 ， 称 为 ; 另 一 种 是 将 明文 消息 分 组 〈 含 有 多 个 字符 )， 逐 组 地 进行 加 密 ， 称 为 

5. 在 理论 上 ， 加 密 信息 的 安全 性 不 取决 于 的 保密 ， 而 取决 于 的 
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6. 美国 数据 加 密 标准 DES 的 密 钥 长 度 为 位 ， 分 组 长 度 为 位 。 

7. 新 一 代数 据 加 密 标 准 AES 的 密 钥 长 度 是 位 ， 分 组 长 度 是 位 。 

8. AS 是 欧洲 蜂窝 移动 电话 系统 中 采用 的 加 密 算法 ， 用 于 到 线路 
上 的 加 密 。A5 的 唯一 缺点 是 

9. 试 列举 5 种 常用 的 分 组 密友 算法， 
和 

10. 分 组 密码 常用 的 工作 模式 有 
和 

11. 祖冲之 密码 本 质 上 是 一 个 密 钥 序列 产生 算法 ， 其 输入 为 比特 的 初始 密 
钥 和 比特 的 初始 向 量 , 输出 为 比特 的 密 钥 字 序列 。 其 逻辑 上 分 为 3 层 ， 
分 别 是 和 

12. SM4 密码 的 分 组 长 度 和 密 钥 长 度 分 别 为 和 。 加 密 算法 采用 
— HERRA. 

二 、 思 考题 


1. 加 密 算法 为 什么 不 应 该 包含 秘密 设计 部 分 ?从 理论 上 讲 , 数据 的 保密 是 取决 于 算 
法 的 保密 还 是 密 钥 的 保密 ? 为什么? 

2. 弗 纳 姆 密码 是 一 种 代 换 密码 吗 ? 它 是 单 表 代 换 还 是 多 表 代 换 ? 

3. 弗 纳 姆 密码 和 一 次 一 密 体制 的 不 同 之 处 是 什么 ? 

4. 为 什么 说 一 次 一 密 加 密 抗 窃听 是 无 条 件 安全 的 ? 

5. 虽然 简单 代 换 密码 和 换 位 密码 对 频 度 分 析 攻 击 是 十 分 脆弱 的 ,为 什么 它们 仍 被 广 
泛 使 用 在 现代 加 密 方案 和 密码 协议 中 ? 

6. 流 密 码 是 单 钥 体 制 还 是 双 钥 体 制 ? 它 与 分 组 密码 的 区 别 是 什么 ? 

7. 现代 密码 通常 是 由 儿 个 古典 密码 技术 结合 起 来 构造 的 。 在 DES 和 AES 中 找 出 采 
用 了 下 述 3 种 密码 技术 的 部 分 : 四 代 换 密码 ; @) 换 位 密码 ; 图 弗 纳 姆 密码 。 

8. AES 的 分 组 长 度 和 密 钥 长 度 是 多 少 ? AES 的 引入 对 密码 学 带 来 的 积极 影响 有 
哪些 ? 

9. 为 什么 AES 被 认为 是 非常 有 效 的 ? 在 AES 的 实现 中 ,有限 域 无, 中 的 乘法 是 如 何 
实现 的 ? 

10. 在 分 组 密码 的 密码 分 组 链接 (CBC) 运行 模式 下 ， 如 果 收 到 的 密 文 的 解密 “ 具 
有 正确 的 填充 ” 你 认为 传输 的 明文 有 有 效 的 数据 完整 性 吗 ? 

11. 为 什么 祖冲之 密码 算法 在 完成 初始 化 进入 工作 状态 后 ,将 算法 第 一 次 执行 过 程 下 
的 输出 W EF? 

12. 试 从 算法 角度 ， 对 SM4 与 AES 进行 比较 。 
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第 5 ig 
ACA) 钥 密码 体制 


WE CAH) 体制 于 1976 年 由 W. Diffie 和 M. Hellman 提出 ， 同 时 R. Merkle 也 独 
立 提出 了 这 一 体制 。J. H. Ellis 的 文章 阐述 了 公 钥 密码 体制 的 发 明史 ， 说 明了 CESG 的 研 
究 人 员 对 双 钥 密码 体制 发 明 所 做 出 的 重要 贡献 。 这 一 体制 的 最 大 特点 是 采用 两 个 密 钥 将 
加 密 和 解密 能 力 分 开 : 一 个 密 钥 公开 作为 加 密 密 钥 ， 称 为 公 钥 ; 一 个 密 钥 为 用 户 专用 ， 
作为 解密 密 钥 ， 称 为 私 钥 。 通 信 双 方 无 须 事先 交换 密 钥 就 可 进行 保密 通信 。 但 是 从 公开 
的 公 钥 或 密 文 分 析出 明文 或 私 钥 ， 则 在 计算 上 是 不 可 行 的 。 若 以 公开 钥 作 为 加 密 密 钥 ， 
以 用 户 专用 钥 作 为 解密 密 钥 ， 则 可 实现 多 个 用 户 加 密 的 消息 只 能 由 一 个 用 户 解读 ; 反之 ， 
以 用 户 专用 钥 作 为 加 密 密 钥 而 以 公开 钥 作 为 解密 密 铀 ， 则 可 实现 由 一 个 用 户 加 密 的 消息 
而 使 多 个 用 户 解 读 。 前 者 可 用 于 保密 通信 ， 后 者 可 用 于 数字 签名 。 这 一 体制 的 出 现 是 密 
码 学 史上 划时代 的 事件 ， 它 为 解决 计算 机 信息 网 中 的 安全 提供 了 新 的 理论 和 技术 基础 。 

Á 1976 年 以 来 , 双 钥 体制 有 了 飞速 发 展 人们 不 仅 提出 了 多 种 算法 ,而 且 出 现 了 不 

少 安全 产品 ， 有 些 已 用 于 NI 和 GI 之 中 。 本 章 介绍 其 中 的 一 些 主要 体制 ， 特 别 是 那些 
既 有 安全 性 ， 又 有 实用 价值 的 算法 。 其 中 ， 包 括 可 用 于 密 钥 分 配 、 加 解密 或 数字 签名 的 
双 钥 算法 。 一 个 好 的 系统 不 仅 算法 要 好 ， 还 要 求 能 与 其 他 部 分 (如 协议 等 ) 进行 有 机 
组 合 。 
由 于 双 钥 体制 的 加 密 变 换 是 公开 的 ， 任 何人 都 可 以 采用 选择 明文 来 攻击 双 钥 体制 ， 
因此 ， 明 文 空间 必须 足够 大 才能 防止 穷尽 搜索 明文 空间 攻击 。 这 在 双 钥 体制 应 用 中 特别 
重要 (如 用 双 钥 体制 加 密会 话 密 钥 时 , 会 话 密 钥 要 足够 长 )。 一 种 更 强 有 力 的 攻击 法 是 选 
择 密 文 攻击 ， 攻 击 者 选择 密 文 ， 然 后 通过 某 种 途径 得 到 相应 的 明文 ， 多 数 双 钥 体制 对 于 
选择 密 文 攻击 特别 敏感 。 攻 击 者 通常 采用 两 类 选择 密 文 攻击 : 

CL) 冷漠 选择 密 文 攻击 。 在 接收 到 待 攻击 的 密 文 之 前 ， 可 以 向 攻击 者 提供 他 们 所 选 
择 的 密 文 的 解密 结果 。 

(2) 自 适应 选择 密 文 攻击 。 攻 击 者 可 能 利用 (或 接 入 ) 被 攻击 者 的 解密 机 但 不 知 
其 秘密 钥 )， 而 可 以 对 他 所 选择 的 、 与 密 文 有 关 的 待 攻 击 的 密 文 ， 以 及 以 前 询问 得 到 的 密 
文 进行 解密 。 

本 章 介绍 双 钥 体制 的 基本 原理 和 几 种 重要 算法 ， 如 RSA、ElGamal、 椭 圆 曲 线 、 基 
于 身份 的 密码 体制 和 中 国 商 用 密码 SM2 算法 等 密码 算法 。 

Diffie [Diffie 1992] 曾 对 双 钥 体制 的 发 展 做 了 全 面 论 述 。 
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51 双 钥 密码 体制 的 基本 概念 





对 于 双 钥 密码 体制 来 说 ， 其 安全 性 主要 取决 于 构造 双 钥 算法 所 依赖 的 数学 问题 。 要 
求 加 密 函 数 具有 单 向 性 ， 即 求 逆 的 困难 性 。 因 此 ， 设 计 双 钥 体 制 的 关键 是 首先 要 寻求 一 
个 合适 的 单 向 函数 。 


5.1.1 单 向 函数 
定义 5-1 令 函 数 SER 4 到 集 B 的 映射 ， 用 f:A> BRA. FEIER x ex, 
,XeE4， 有 f(w)zf(x,)， 则 称 f 为 单 射 , 或 1-1 映射 ， 或 可 逆 的 函数 。 
为 可 道 的 充 要 条 件 是 ， 存 在 函数 g:B -> 4， 使 对 所 有 xe4 有 g[f(x)]=x。 
定义 5-2 ”一 个 可 逆 函 数 ADB, FEWE: 
A) 对 所 有 xe 4， 易 于 计算 f(x) 。 
(2) 对 “几乎 所 有 xe4” 由 f(x) 求 x“ 极 为 困难 ”以 至 于 实际 上 不 可 能 做 到 ， 则 
称 f 为 单 向 (One-Way) 函数 。 
定义 中 的 “极为 困难 ”是 对 现 有 的 计算 资源 和 算法 而 言 。Massey 称 此 为 视 在 困难 性 
(Apparent Difficulty)， 相 应 函数 称 为 视 在 单 向 函数 ， 以 此 来 与 本 质 上 的 困难 性 (Essential 
Difficulty) 相 区 分 [Massey 1985]. 
例 5-1 令 f 是 在 有 限 域 GF(p) 中 的 指数 函数 ， 其 中 p 是 大 素数 ， 即 
y=f{@=a (5-1) 
tH, xeGF(p), x Hii O<x< p-1 i Me, TWZ TE GF(p) 中 定义 的 对 数 运 算 ， 
即 
x=log,a* O<x<p-l (5-2) 
显然 , 由 x 求 ?是 容易 的 , 即使 当 p 很 大 , 例如 px2” 时 也 不 难 实现 。 为 方便 计算 ， 
以 下 令 a=2。 所 需 的 计算 量 为 log 次 乘法 ， 存 储量 为 log p)b， 例 如 p=2” 时 ， 需 做 100 
次 乘法 。 利 用 高 速 计算 机 由 x 计算 a* 可 在 0.1ms 内 完成 。 但 是 相对 于 当前 计算 GF(p) 中 
对 数 最 好 的 算法 ， 要 从 a* 计 算 x 所 需 的 存储 量 大 约 为 (3/2)xVp log pb， 运 算 量 大 约 为 
(1/2)xVp log p。 当 p=2”"” 时 ， 所 需 的 计算 量 为 (1/2)x2”x100~x10"7 次， 用 计算 指数 
一 样 快 的 计算 机 进行 计算 需 时 约 10 秒 (1 年 =10” 秒 ， 故 约 为 1600 年 。 其 中 假定 存储 量 
的 要 求 能 够 满足 )。 由 此 可 见 ， 当 p 很 大 时 ，GF(p) 中 的 Fox) = wx ，x< 了 -1 为 单 向 函数 。 
Pohlig 和 Hellman 对 (p-1) 无 大 素 因 子 时 给 出 一 种 快速 求 对 数 的 算法 [Pohlig 等 1978]。 
特别 是 当 p=2”+1 时 ， 从 a* 求 x 的 计算 量 仅 需 (logp) 次 乘法 。 对 于 p=2”+1， 在 高 
速 计算 机 上 大 约 仅 需 时 10ms。 因 此 ， 在 这 种 情况 下 ， fE) = a 就 不 能 被 认为 是 单 向 
函数 。 
综 上 所 述 ， 当 对 素数 p， 且 p-1 有 大 的 素 因 子 时 ，GF(p) 上 的 函数 f(x) =a 是 一 个 视 
在 单 向 函数 。 寻 求 在 GF(p) 上 求 对 数 的 一 般 快速 算法 是 当前 密码 学 研究 中 的 一 个 重要 课题 。 
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5.1.2 ” 陷 门 单 向 函数 


单 向 函数 是 求 逆 困难 的 函数 ,而 陷 门 单 向 函数 (Trapdoor One-Way Function) 是 在 不 
知 陷 门 信息 下 求 逆 困 难 的 函数 ， 当 知道 陷 门 信息 后 ， 求 逆 易 于 实现 。 这 是 Diffie 和 
Hellmam[Diffie 等 1976] 引 入 的 有 用 概念 。 

号 码 锁 在 不 知 预 设 号 码 时 很 难 打开 , 但 若 知 道 所 设 号 码 则 容易 开启 。 太 平 门 是 另 一 例 ， 
从 里 面向 外 出 容易 , 若 无 钥 匙 者 反 向 难 进 。 但 如 何 给 陷 门 单 向 函数 下 定义 则 很 棘手 ， 因 为 ; 

(1) 陷 门 函数 其 实 不 是 单 向 函数 ， 因 为 单 向 函数 是 在 任何 条 件 下 求 逆 都 是 困难 的 。 

(2) 陷 门 可 能 不 止 一 个 ， 通 过 试验 ， 一 个 个 陷 门 就 可 容易 地 找到 逆 。 如 果 陷 门 信息 
的 保密 性 不 强 ， 求 逆 也 就 不 难 。 

定义 5-3” 陷 门 单 向 函数 是 一 类 满足 下 述 条 件 的 单 向 函数 : f:4. >B, zeZ, Z 
是 陷 门 信息 集 。 

(1) 对 所 有 zeZ,， 在 给 定 z 下 容易 找到 一 对 算法 E, 和 DD.,， 使 对 所 有 xe 4， 易 于 计 
AFRIG, B 





f(x) = E(x) (5-3) 
DAS: =x (5-4) 
而 且 当 给 定 = 后 容易 找到 一 种 算法 已 , 称 已 为 可 用 消息 集 鉴别 函数 , 对 所 有 xe A 
于 检验 是 否 xe 4. (4 c 4)，A4. 是 可 用 的 明文 集 。 
(2) 对 “几乎 所 有 ”zeZ ， 当 只 给 定 E. 和 下 时 ， 对 “几乎 所 有 ”xe 4，“ 很 难 ” 
( 即 “ 实 际 上 不 可 能 ”) My = F(x) SEH xo 
G) 对 任 一 z， 集 4. 必须 是 保密 系统 中 明文 集中 的 一 个 “方便 ” 集 。 即 便于 实现 明 
文 到 它 的 映射 (在 双 钥 密码 体制 中 是 默认 的 条 件 )。(Diffie 和 Hellman 定义 的 陷 门 函数 中 ， 
A =A, HRA ZR. KEPI ABAF Z) 
5.1.3 QR 
在 一 个 公 钥 系 统 中 ， 所 有 用 户 共同 选 定 一 个 陷 门 单 向 函数 ， 加 密 运 算 E 及 可 用 消息 
集 鉴别 函数 用户 i 从 陷 门 集中 选 定 z;， 并 公开 E, AF, 。 任 一 要 向 用 户 i 发 送 机 密 消 
息 者 ， 可 用 已 检验 消息 x 是 否 在 许 用 消息 集 之 中 ， 然 后 送 y= E, 给 用 户 x 即 可 。 
在 仅 知 y，E, AF, 的 情况 下 ， 任 一 用 户 不 能 得 到 x。 但 用 户 i 利用 陷 门 信息 z,， 易 
F445 D,(y) =x 
定义 5-4 对 zeZ 和 任意 xe 针 ，F(x) 一 ye 了 Y=。 车 
F(E) = EE) (5-5) 
成 立 ， 则 称 已 为 可 换 单 向 函数 。 
可 换 单 向 函数 在 密码 学 中 更 有 用 。 
5.1.4 用 于 构造 双 钥 密码 的 单 向 函数 
Diffie 和 Hellman 在 1976 年 发 表 的 文章 虽 未 给 出 陷 门 单 向 函数 ， 但 大 大 推动 了 这 
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方面 的 研究 工作 。 双 钥 密 码 体制 的 研究 在 于 ， 给 出 这 种 函数 的 构造 方法 以 及 它们 的 安 
全 性 。 

陷 门 单 向 函数 的 定义 并 没有 指出 这 类 函数 是 否 存在 ， 但 其 中 指出 : 一 个 单 钥 密 码 体 
制 ， 如 果 能 抗击 选择 明文 攻击 ， 就 可 规定 一 个 陷 门 单 向 函数 。 以 其 密 钥 作为 陷 门 信息 ， 
则 相应 的 加 密 函 数 就 是 这 类 函数 。 这 是 构造 双 钥 体 制 的 途径 。 

下 面 是 一 些 单 向 函数 的 例子 。 目 前 多 数 双 钥 体制 是 基于 这 些 问 题 构造 的 。 

1. 多 项 式 求 根 

有 限 域 GF(p) 上 的 一 个 多 项 式 

y=f(x) =x" +a, xX" +--+ ax + a mod p 
HAE aaao Pp 及 x 时 ， 很 容易 求 y， 利 用 Honers 法 则 ， 即 
F(x) = (C(x +4, Jr+a Xta, 3)x+…+a)x+ao (5-6) 

最 多 有 n 次 乘法 和 n—1 次 加 法 。 反 之 ， 已 知 y,ao…,a,, ， 要 求解 x 需 能 对 高 次 方 
程 求 根 。 这 至 少 要 | n° (lbp) | 次 乘法 (这 里 ，| a | 表示 不 大 于 a 的 最 大 整数 )， 当 n, p 
很 大 时 很 难 求解 。 

2 离散 对 数 DL (Discrete Logarithm) 

给 定 一 大 素数 p，p-l1 含 男 一 大 素数 因子 4， 可 构造 一 乘 群 Z, ， 它 是 一 个 p- 阶 循 
环 群 。 其 生成 元 为 整数 g，1< g <p-1。 已 知 x， 容易 求 y=g”mod p， 这 只 需 | 1b2x |-1 
UHV, Wx =15=1111,, g®=(1* 2) * gf * gf *gmod p， 要 用 3+4-1=6 次 乘法 。 

FOAI y, g p» 3R x= log, ymod p 为 离散 对 数 问题 。 最 快 求解 法 运算 次 数 渐 近 值 为 

L(p) = OCexp{(1 + o(1))/in p Inin p)}) (5-7) 
p=512 IN, L(p)=2?% =107 。 

若 离散 对 数 定义 在 GF(2") 中 的 2" -1 阶 循环 群 上 ，Shanks 和 Pohlig-Hellman 等 的 离 
散 对 数 算法 预计 算 量 的 渐 近 式 为 





O(exp{(1.405 + o())n"3(In.n)?}) S 
求 一 特定 离散 对 数 的 计算 量 的 渐 近 式 为 
Up) = O(exp{(1.098 + 0(1))n"3(In nj3y) (5-9) 


具体 请 参阅 [LaMacchia 等 1991; McCurley 1990]. 

广义 离散 对 数 问题 是 在 n 阶 有 限 循环 群 G 上 定义 的 。 

3. 大 整数 分 解 FAC (Factorization Problem) 

判断 一 个 大 奇数 是 否 为 素数 的 有 效 算法 , 大 约 需要 的 计算 量 是 |1bn | , 4 nX 256 
或 512 位 的 三 元 数 时 ， 用 当前 计算 机 做 可 在 10 分 钟 内 完成 。 

车 已 知 两 个 大 素数 p 和 gq，, 求 n=p*g Rite Rk, (HA Hn, Kp 和 gqg， 则 是 几 
千年 来 数论 专家 的 攻关 对 象 。 迄 今 为 止 ， 已 知 的 各 种 算法 的 渐 近 运行 时 间 如 下 : 

(1) 试 除法 : 最 早 的 也 是 最 慢 的 算法 ， 需 试验 所 有 小 于 sqrt(n) 的 素数 ， 运 行 时 间 为 
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(2) =U Sf (QS): 
T(n) = O(exp{(1+ o(1)),/Inn In(Inn)}) (5-10) 
该 算法 为 小 于 110 位 整数 最 快 的 算法 , ALR Ai MPS) 是 QS 算法 的 变型 ， 
它 比 QS 算法 更 快 。MPQS 的 双 倍 大 指数 变型 还 要 更 快 一 些 。 
(3) 椭圆 曲线 (EC): 





T(n) = O(exp{(1+o(D)V2Inp In(In p)}) (5-11) 
(4) Busi CNFS): 
T(n) = O(exp {(1.92 + o(1))(In n)? (n(n n))"7}) (5-12) 


式 中 , p 是 n 的 最 小 的 素 因 子 ， 最 坏 的 情况 下 pxm?。 当 nx2， 要 用 3.8x10 年 
(一 秒 进行 100 万 次 运算 )。 虽 然 整数 分 解 问题 已 进行 了 很 长 时 间 研 究 ， 但 至 今 尚 未 发 现 
快速 算法 。 目 前 对 于 大 于 110 位 的 整数 数 域 筛 是 最 快 的 算法 ， 曾 用 于 分 解 第 9 个 Fermat 
数 。 目 前 的 进展 主要 是 靠 计 算 机 资源 来 实现 的 。 二 次 得 法 可 参阅 [Pomerance 1984; Carton 
等 1988]; 数 域 得 法 可 参阅 [Lenstra 等 1993]; 椭圆 曲线 法 参阅 [Pollard 1993; Lenstra 1987; 
Montgomery 1987]. 

7T(n) 与 L(p) 的 表示 式 大 臻 相同， 一 般 当 n=p 时 ， 解 离散 对 数 要 更 难 些 。 

RSA 问题 是 FAC 问题 的 一 个 特例 。n 是 两 个 素数 p 和 g 之 积 ， 给 定 n 后 求 素 因 子 p 
All q 的 问题 称 为 RSAP。 求 n= pq 分 解 问题 有 以 下 儿 种 形式 : 

A) 分 解 整数 n 为 p 和 gq。 

(2) 给 定 整数 M 和 C,， 求 dg 使 C" = Mmodn. 

G) 给 定 整数 e 和 C, 求 M 使 M*=Cmodn。 

(4) 给 定 整数 x 和 C， 决 定 是 否 存 在 整数 y 使 x=y modn〔 二 次 剩余 问题 )。 











4. Diffie-Hellman 问题 (DHP) 

给 定 素数 p SHZ 的 生成 元 ， 若 已 知 g” 和 a*， 求 a 的 问题 为 Diffie-Hellman 
问题 ， 简 称 DHP。 若 o 为 循环 群 G WERT, HEM Mat H G 中 的 元 素 ， 求 ww 的 
问题 为 广义 Diffie-Hellman 问题 , 简 记 为 GDHP[den Boer 1988; Maurer 1994b; Waldvogel 
“1993; McCurley 1988]. 

££ [Menezes 等 1997] 一 书 的 第 4 章 对 双 钥 密码 体制 公 钥 参数 的 生成 和 有 关 算 法 进行 
了 全 面 介绍 ， 该 书 的 第 3 章 对 密码 中 用 到 的 数学 难题 进行 了 全 面 系统 的 论述 。 此 外 ， 还 
可 参阅 [Pomerance 1990; Adleman 等 1994; Bach 1990; Lenstra 等 1990a，1990b]。 


52 RSA 密码 体制 





1978 年 ，MIT 的 3 位 年 轻 数 学 家 R.L.Rivest，A.Shamir 和 L.Adleman 发 现 了 一 种 用 
数论 构造 双 钥 的 方法 [Rivest 等 1978，1979]， 称 为 MIT 体制 ， 后 来 被 广泛 称 为 RSA 体 
制 。 它 既 可 用 于 加 密 ， 又 可 用 于 数字 签名 ， 易 懂 且 易于 实现 ， 是 目前 仍然 安全 并 且 逐 步 
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被 广泛 应 用 的 一 种 体制 。 国 际 上 一 些 标准 化 组 织 CSO, ITU 和 SWIFT 等 ) 均 已 接受 
RSA 体制 作为 标准 。 在 因特网 中 所 采用 的 PGP (Pretty Good Privacy) 中 也 将 RSA 作为 
传送 会 话 密 钥 和 数字 签名 的 标准 算法 。 

RSA 算法 的 安全 性 基于 5.1 节 介 绍 的 数论 中 大 整数 分 解 的 困难 性 。 


5.2.1 RSA 密码 体制 
独立 选取 两 个 大 素数 p 和 p, CA 100 一 200 位 十 进 制 数 字 )， 计 算 








n= Pxp; (5-13) 
其 欧 拉 函数 值 为 
VCUD)=( 记 -DC -1) (5-14) 
随机 选 一 整数 e，1 三 e<g(n)，(p(n),e)=1。 因 而 在 模 gp(n) 下 ，e Ht 
d =e" modg(n) (5-15) 


取 公 钥 为 n，e。 密 铀 为 4 Cpo p 不 再 需要 ， 可 以 销毁 )。 
加 密 : 将 明文 分 组 ， 各 组 在 mod n 下 ， 可 唯一 地 表示 出 来 (以 二 元 数字 表示 ， 选 2 
的 最 大 军 小 于 n)。 各 组 长 达 200 位 十 进 制 数字 。 可 用 明文 集 为 
A.={x:l<x<n,(x,n)=1} 
VERE, (xn) #1 是 很 危险 的 。xe A, 的 概率 
gn) _ (Pı -DP =!) zi t 1 1 





-一 -一 + 一 一 一 1] 
n P\P2 P Pp, PiP 
密 文 
y=x modn (5-16) 
解密 : 
x=y modn (5-17) 


证 明 : y4 =(x*)? =x", KĄ de=lmodg(n) iii de=qo(n)+1. HRPE, (x, 

n)= 130K x =Imodn, iA 
yt =x% = x = © 1=xmodn 

陷 门 函数 : Z=(p,,p,,d) 

例 S-2 选 p =47,p,=71, 则 n=47x71=3337, p(n)=46x70=3220 。 若 选 e=79， 
可 计算 dg =e'(mod3220) =1019.. AJF n=3337 Ale=79. BH d=1019. Hp,» po 

&x=688 232 687 966 668 3, 分 组 得 x =688, x, =232, x, = 687, x,=966, 
X5=668, x,=3. x [JMR (688)”(mod3337)=1570= yo FE, Wi Se ha A 
密 文 。 得 到 密 文 y=1570 2756 2714 2423 158. 

第 一 组 密 文 的 解密 为 (4570)”"” mod 3337 = 688=x。 类 似 地 可 解 出 其 他 各 组 密 文 。 

RSA 加 密实 质 上 是 一 种 Z, > Z, 上 的 单 表 代 换 。 给 定 n= pp 和 合法 明文 xe 2Z,， 其 
相应 密 文 y=x modne Z, o HF xx, VA yty o Z, 中 的 任 一 元 素 (0, po ps 除外 ) 
是 一 个 明文 ， 但 它 也 是 与 某 个 明文 相对 应 的 一 个 密 文 。 因 此 ，RSA Æ Z, > Z, 的 一 种 单 
表 代 换 密码 ， 关 键 在 于 n 极 大 时 在 不 知道 陷 门 信息 下 极 难 确定 这 种 对 应 关系 ， 而 用 模 指 
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数 算法 又 易于 实现 一 种 给 定 的 代 换 。 正 是 因为 这 种 对 应 性 ， 使 RSA 不 仅 可 以 用 于 加 密 ， 
也 可 以 用 于 数字 签名 。 


5.2.2 RSA 的 安全 性 


1. 分 解 模 数 n 

在 理论 上 ，RSA 的 安全 性 取决 于 模 n 分 解 的 困难 性 ， 但 数学 上 至 今 还 未 证 明 分 解 模 
就 是 攻击 RSA 的 最 佳 方法 ， 也 未 证 明 分 解 大 整数 就 是 NP 问题 ， 可 能 有 尚未 发 现 的 多 项 
式 时 间 分 解 算法 。 人 们 完全 可 以 设想 有 另外 的 途径 破译 RSA， 如 求解 密 指 数 d 或 找到 
(p, — Wp, -1) 等 。 但 这 些 途 径 都 不 比分 解 n 更 容易 。 甚 至 有 文献 [Alexi 等 1988] 曾 揭示 ， 
从 RSA 加 密 的 密 文 恢复 某 些 位 的 困难 性 也 和 恢复 整 组 明文 一 样 困 难 。 

当前 的 技术 进展 使 分 解 算法 和 计算 能 力 在 不 断 提 高 ， 计 算 所 需 的 硬件 费用 在 不 断 下 
降 。110 位 十 进 制 数 字 早 已 能 分 解 。Rivest 等 最 初 悬赏 $S100 的 RSA-129， 已 由 包括 5 大 
洲 43 个 国家 六 百 多 人 参加 。 人 们 通过 Internet, H 1600 台 计 算 机 同时 产生 820 条 指令 数 
据 ， 耗 时 8 个 月 ， 于 1994 年 4 月 2 日 利用 二 次 得 法 分 解 出 为 64 位 和 65 位 的 两 个 因子 ， 
原来 估计 要 用 4 亿 亿 年 。 所 给 密 文 的 译文 为 “这 些 魔 文 是 容易 受惊 的 鱼 谭 ”。 这 是 有 史 以 
来 最 大 规模 的 数学 运算 。RSA-130 于 1996 年 4 月 10 日 利用 数 域 筛 法 分 解 出 来 ， 目 前 正 
在 向 更 大 的 数 ， 特 别 是 S12b RSA, El RSA-154 冲击 [Cowie 等 1996]。 表 5-1 给 出 了 采 
用 广义 数 域 得 分解 不 同 长 度 RSA 公 钥 模 所 需 的 计算 机 资源 。 

表 5-1 采用 广义 域 簿 所 需 计 算 机 资源 

















密 钥 长 b) 所 需 的 MIPS- 年 ” 
116 (Blacknet 密 钥 ) 400 
129 5000 
512 30 000 
768 200 000 000 
1024 300 000 000 000 
2048 300 000 000 000 000 000 000 


+: MIPS -年 指 以 每 秒 执行 1 000 000 条 指令 的 计算 机 运行 一 年 。 
K 5-2 为 采用 NSF 算法 破译 RSA 体制 与 用 穷 搜 索 密 钥 法 破译 单 钥 体 制 的 等 价 密 钥 
长 度 。 
表 5-2 等 价 密 钥 长 度 


单 钥 体制 RSA 体制 单 钥 体制 RSA 体制 


56b 384b 112b 1792b 
64b 512b 128b 2304b 


80b 768% | | 


因此 ， 如 果 要 用 RSA， 需 要 采用 足够 大 的 整数 。512b (154 位 )、664b (200 位 ) 已 
有 实用 产品 。 也 有 人 想 用 1024b 的 模 。 若 以 每 秒 可 进行 100 万 步 的 计算 资源 分 解 664b 
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大 整数 ， 需 要 完成 103 步 ， 即 要 用 1000 年 。 在 European Institute for System Security 
Workshop 上 ， 与 会 者 认为 1024b 模 在 今后 10 年 内 足够 安全 。Simmons 预测 150 位 数 将 
在 21 世纪 被 分 解 。 数 学 家 估计 分 解 x 十 10 位 数 的 困难 程度 约 为 分 解 x 的 10 倍 。 目 前 ， 
512b 模 〈 约 155 位 ) 在 短期 内 仍 十 分 安全 ， 但 大 素数 分 解 工作 在 WWW 上 的 大 协作 已 
构成 对 512b 模 RSA 的 严重 威胁 ， 很 快 可 能 要 采用 768b 甚至 1024b 的 模 。 

大 整数 分 解 算法 的 研究 是 当前 数论 和 密码 理论 研究 的 一 个 重要 课题 ， 可 参阅 相关 文 
献 [Adleman 1991; Bressoud 1989; Buhler 等 1993; Coppersmith 1993; Denny 等 1994; 
Dobbertin 1996; Lenstra 1987; Montgomery 1987; Pomerance 1990, 1994; Silverman 1987; 
van Oorschot 1992]. 


2. 其 他 途径 
M n FERH gon). WERE po po KX 
n-ø(n)+1= p,p, -(p, - Ip, -D +1= p, + p, 


oe 

但 已 经 证 明 ， 求 o) 的 困难 性 等 价 于 分 解 n 的 困难 性 。 

从 nn 求 qd 也 等 价 于 分 解 no 

目前 尚 不 知道 是 否 存 在 一 种 无 须 借助 于 分 解 n 的 攻击 法 , 也 未 能 证 明 破译 RSA 的 任 
何方 法 都 等 价 于 大 整数 分 解 问题 。 

3. 和 迭代 攻击 法 

Simmons 和 Norris 曾 提 出 迭代 或 循环 攻击 法 。 例 如 ， 给 定 一 RSA 的 参数 为 
(n,e, y) = (35,17,3) » FL H yp =y=3 iF Sf y =3" =33m0d35 . FEE y Sy, =y = 
3mod35 ， 从 而 得 到 明文 x=y =33mod35。 一 般 对 明文 x 加密 多 次 ， 直 到 再 现 x 为 止 。 
Rivest 证 明 [Rivest 1978], “4 p, -1 和 p, -1 中 含有 大 素数 因子 ， 且 n LAKIN, 这 种 攻击 
法 成 功 的 概率 趋 于 0。 

4. 选择 密 文 攻击 

CD) 消息 破译 。 攻 击 者 收集 用 户 4 UAH e 加 密 的 密 文 y=x* modn ， 并 想 分 析出 明 
Xx WHH <n, WE y =r°modn, Xk r = yf modn. ity, = y, x ymodn. 
4t=r'modn, I]t = y; modn 。 

如 果 攻 击 者 请 4 E y BET RR. GB) s=yimodn 。 攻 击 者 计算 
ts modn = y,“ x yf modn = y" x yf x y modn=y modn=x， 得 到 了 明文 。 

(2) 骗取 仲裁 签名 。 在 有 仲裁 情况 下 ，4 有 一 个 文件 要 求 仲裁 ， 可 先 将 其 送 给 仲裁 T, 
T 以 RSA 的 密 钥 进行 签署 后 回 送 给 4 (未 用 单 向 Hash 函数 ， 只 以 密 钥 对 整个 消息 加 密 )。 

攻击 者 有 一 个 消息 要 了 签署 , 但 了 并 不 情愿 给 他 签 ,因为 该 消息 可 能 有 伪造 的 时 戳 ， 
也 可 能 是 来 自 其 他 人 的 消息 。 但 攻击 者 可 用 下 述 方法 骗取 了 的 签名 。 令 攻击 者 的 消息 为 
x， 他 首先 任意 选 一 个 数 N, 计算 y=N*modn (e 是 了 的 公 钥 )， 然 后 计算 M = yx ， 送 给 





而 
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T, 了 将 签名 的 结果 MI mod n 送 给 攻击 者 , WA (M° modn)N™ modn =(yx)* +N“ modn= 
x’y’ > N'modn =x NN" modn=x" modn， 此 为 7 对 x 的 签名 。 

所 以 能 有 这 类 攻击 是 因为 指数 运算 保持 了 输入 的 乘法 结构 。 

G) 骗取 用 户 签名 。 攻 击 者 可 构造 两 条 消息 和 x,， 凑 出 所 要 的 x =x, xx,modn。 

首先 他 可 得 到 用 户 4 x, A x, WY EH x? modn All x¥modn ， 则 可 计算 
x modn=(x modn) * (xf modn)modn。 
因此 ， 任 何 时 候 不 要 为 不 相识 的 人 签署 随机 性 文件 ， 最 好 先 采 用 单 向 Hash 函数 。 
ISO 9796 的 分 组 格式 可 以 防止 这 类 攻击 。 

有 关 选 择 密 文 攻击 RSA 体制 的 研究 可 参阅 相关 文献 。 


5. 公用 模 攻 击 

车 很 多 人 共用 同一 模 数 n 各 自选 择 不 同 的 e 和 q, 这 样 实现 当然 简单 , 但 是 不 安全 。 
若 明文 以 两 个 不 同 的 密 钥 加 密 ， 在 共用 同一 个 模 下 ， 若 两 个 密 钥 互 素 〈 一 般 如 此 )， 则 可 
任 一 密 钥 恢复 明文 [Simmons 1983]. 

设 a 和 e 是 两 个 互 素 的 不 同 密 钥 ， 共 用 模 为 nxn， 对 同一 明文 x 加 密 得 
y, =x" modn, y, = x° modn。 分 析 者 知道 n,e,e,,y 和 yy,。 因 为 (ei,e,)=1, 所 以 有 7 teit 
s*。e2=1。 假 定 + 为 负数 ， 由 Euclidean 算法 可 计算 
QT) + B=xmodn 

还 有 两 种 攻击 共用 模 RSA 的 方法 : 

(1) 用 概率 方法 可 分 解 n。 

(2) 用 确定 性 算法 可 计算 某 一 用 户 密 钥 而 不 需要 分 解 n。 详 细 内 容 可 参阅 [Moore 
1988; Simmons 1983]. 

6. 低 加 密 指 数 攻击 

采用 小 的 e 可 以 加 快 加密 和 验证 签名 的 速度 ， 且 所 需 的 存储 密 钥 空 间 小 ， 但 若 加 密 
密 钥 e 选择 得 太 小 ， 则 容易 受到 攻击 。 

令 网 络 中 的 3 个 用 户 的 加 密 密 钥 e 均 选 3， 而 有 不 同 的 模 n，n,，n,。 若 一 个 用 户 
将 消息 x 传 给 3 个 用 户 的 密 文 分 别 为 


二 
yı=x modn x<n, 








I 











yı =x modnm, x<n, 
y, =x modn x<n, 
-Mën m mE 否则 ， 可 求 出 公 因子 而 降低 安全 性 )， 利 用 中 国 剩余 定理 ， 
TWA yo yo ys Kt 














y=x mod (ml m n) 
x<no x<m» x<m, FFE ð< n -m `m, HH ay =x $ 
若 x Ja ak 




















y=% xH) mod ni 
y=(2 x+h) mod m 
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y3=(2' x+t3)° mod m 

1 是 1，bb，#3 的 二 元 表示 位 数 ， 可 防止 这 类 攻击 。Hastad 将 上 述 攻 击 扩展 为 大 个 用 户 ， 
即将 相同 的 消息 x 传 给 个 人 ， 只 要 k>e(e+1)/2， 采 用 低 指 数 也 可 有 效 攻击 。 因 此 ， 
为 抗击 这 种 攻击 e 必须 选 得 足够 大 。 一 般 e 选 为 16 位 素数 时 ， 既 可 兼顾 快速 加 密 ， 又 可 
防止 这 类 攻击 。 

对 短 的 消息 ， 可 用 随机 数字 填充 ， 以 防止 低 加 密 指 数 攻 击 。 

d 太 小 也 不 行 。Wiener 指出 ,对 e<n, 而 d<n/4, 则 可 以 攻破 这 类 RSA 体制 .Coppersmith 
对 RSA 的 低 指 数 攻 击 做 了 进一步 研究 。 


7. 定时 攻击 法 

SEHT (Timing) 攻击 法 由 P. Kocher 提出 ， 利 用 测定 RSA 解密 所 进行 的 模 指数 运算 
的 时 间 来 估计 解密 指数 4， 然 后 再 精确 定 出 4 的 取 值 。 另 外 还 可 采用 盲 化 技术 ， 即 首先 
将 数据 进行 盲 化 运算 ， 再 进行 加 密 运 算 ， 而 后 做 去 盲 运算 。 这 样 做 虽然 不 能 使 解密 运算 
时 间 保 持 不 变 ， 但 计算 时 间 被 随机 化 而 难于 推测 解密 所 进行 的 指数 运算 的 时 间 [Unruh 
1996]. 


8. 消息 隐匿 问题 

PWS x, O<x<n-1, KH RSA 体制 加 密 ， 可 能 出 现 x=x mod n， 致 使 消息 暴 器 。 
这 是 明文 在 RSA 加 密 下 的 不 动 点 ,总 有 一 些 不 动 点 , 如 x=0, 1 和 n-1。 一 般 有 [1+gcd(e-1， 
p-1)] ° [ 1+gcd(e-1，g-1)] 个 不 动 点 。 由 于 e-1，p-1 和 q-l 都 是 偶数 ， 所 以 不 动 点 至 少 
为 9 个。 一般 来 说 ， 不 动 点 个 数 相当 少 ， 可 以 忽略 不 计 [Blakley 等 1979]. 

Kaliski 和 Robshaw 曾 对 RSA 的 安全 性 进行 全 面 评 述 。 有 关 RSA 算法 用 于 认证 协议 
的 安全 性 研究 可 参阅 [Coppersmith 等 1996; Franklin 等 1995]。 


5.2.3 RSA 的 参数 选择 


综 上 所 述 , 为 了 保证 RSA 体制 的 安全 ， 必 须 仔 细 选 择 各 参数 。 有 关 大 素数 的 求法 可 
参阅 其 他 文献 。 


1. 的 确定 

(1) n=piXp2，pP1 与 p VIRAZ (Strong Prime)。 强 素数 p 的 条 件 如 下 : 

DO 存在 两 个 大 素数 pl 和 po， pil(p-1),，p2l(p 十 1)。 

© 存在 4 个 大 素数 记 ，s1， nÆ so IË rll) slpi 十 1)，r21(p2-1)，s2l(pz 十 1)。 
Pe ris ro sF 为 三 级 素数 (Level-3); pi Al pp HO RBM. 


采用 强 素数 的 理由 如 下 : 车 p-1=T] pr ， 忆 为 素数 ，w 为 正 整 数 。 分 解 式 中 pB, 


B 为 已 知 的 一 个 小 整数 ， 则 存在 一 种 p 一 1 的 分 解法 ， 使 得 易于 分 解 n。 令 n=pg， 且 p 一 1 
WHE LIBRE, p<Bo Saba, i=l, 2, +, to 即 可 构造 
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R=TIz (5-18) 
i=l 


显然 (p 一 1 R。 由 费 尔 马 定理 有 2°=1 mod p. 4 2"=x mod ne F x =1 WHE 3 482, 
直到 出 现 x41. JEN, H GCD(x 一 1，n)=p， 就 得 到 的 分 解 因子 p 和 gq。 
例 5-3 n=pg=118 829， 选 B-=14，oFI1， 由 加 法 链 算法 
R= [| [| p, =2x3x5x7x11x13 = 30030 


H. 2"=103 935 mod 118 829。 由 欧 几 里 德 算 法 易 求 GCD(103 935-1, 118 529)=331， 从 而 
n=331X359。 这 是 由 于 331 一 1=2X3X5X11 为 小 素数 因子 之 积 。 

Williams 给 出 类 似 的 p 十 1 的 分 解 算法 。 

(2) pi 与 py 之 差 要 大 。 车 pi 与 ps 之 差 很 小 ， 则 可 由 npp 估计 (pi 十 Po)/2=22， 则 
由 (1 十 p2)2》-n=((p1-p2)/2》。 上 式 右 边 为 小 的 平方 数 ， 可 以 试验 给 出 pi ps 的 值 。 

例 5-4 n=164 009， 估 计 (pi 十 pz)/2<405， 由 405>-n=16=42:， 可 得 (pi 十 p2)/2=405， 
(pi1-p2)/2=4, pi=409, ps=401。 

(3) pi 一 1 与 pol 的 最 大 公 因子 要 小 。 在 唯 密 文 攻击 下 , 设 破译 者 截获 密 文 y=x* mod 
1。 破译 者 做 下 述 递 推 计算 (Simmons 等 1977): 

y= mod n=(x°) mod n 

47 ei=1 mod y(n), 则 有 y=(x)=x mod no FF i 小 ， 则 由 此 攻击 法 易 得 明文 x。 由 Euler 
EEE, =Q((pi-1)(po-1)), # pil FI pl 的 最 大 公 因 子 小 , 则 i 值 大 ,如 二 (pi-1)(ps-1)/2， 
此 攻击 法 难于 奏效 。 

(4) pis PEERK, WME n 分 解 在 计算 上 不 可 行 。 近 十 多 年 来 ， 大 整数 分 解 因 子 
的 进展 如 表 5-3 所 示 。 





























表 5-3 大 整数 分 解 因 子 的 进展 














F R 机 型 时 间 
1983 HP PC 3 天 
1983 Cray 大 型 计算 机 32h 
1988 25 个 Sun 工作 站 数 周 
1989 1 MZP 处 理 器 145 
1989 八 十 多 个 工作 站 数 周 
1993 128X 128 处 理 器 (0.2MIPS) 1 
1994 1600 部 计算 机 8 个 月 








2. e 的 选取 原则 

(e, An))=1 的 条 件 易于 满足 ， 因 为 两 个 随机 数 为 互 素 的 概率 约 为 45。 e 小 时 ， 加 密 
速度 快 ， 有 学 者 [Knuth 1981a，1981b; Shamir 1984] 曾 建议 采用 e=3。 但 e 太 小 则 存在 一 
些 问题 [Coppersmith 等 1996]. 

(1) e 不 可 过 小 。 

O 车 e 小 ,x 小 ， y=x modn， 当 x<n， 则 未 取 模 ， 由 y HIR e 次 方 可 求 x。 
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© 易 遭 低 指数 攻击 。 
(2) 选 e 在 mod gq(n) 中 的 阶 数 ， 即 i，ei=1mod gn), i 达到 (pi-1)(ps-1)/2。 


3. d 的 选择 

e 选 定 后 可 用 Euclidean 算法 在 多 项 式 时 间 内 求 出 de BAKE nl. dy, MAFF 
密 运 算 快 ， 这 在 IC 卡 中 尤为 重要 (复杂 的 加 密 和 验证 签名 可 由 主机 来 做 )。 类 似 于 加 密 
下 的 情况 ，q& 不 能 太 小 ， 和 否则 由 已 知 明文 攻 击 ， 构 造 《迭代 地 做 ) y=x mod mn， 再 猜测 d 
值 ， 做 x*mod mn， 直 到 试 次 出 x1 mod n 是 d (HITT. Wiener 给 出 对 小 q 的 系统 攻击 
法 ， 证 明了 当 d 长 度 小 于 的 1/4 时 ， 由 连 分 式 算 法 ， 可 在 多 项 式 时 间 内 求 出 g 值 。 至 
于 这 是 否 可 推广 至 12， 目 前 还 不 知道 。 


5.2.4 RSA 体制 应 用 中 的 其 他 问题 


(1) 不 可 用 公共 模 。 一 个 网 ， 由 一 个 密 钥 产生 中 心 (Key Generation Center, KGC) 
采用 一 个 公共 模 ， 分 发 多 对 密 铀 ， 并 公布 相应 公 钥 ei， 这 当然 使 密 钥 管理 简化 ， 存 储 空 
间 小 ， 且 无 重新 分 组 〈Reblocking) 问题 ， 但 如 前 所 述 ， 它 在 安全 上 会 带 来 问题 。 

(2) WASCHHBESATREFE A. WSC BUS ATED, MEEA RXT, KAWA 
无 异 于 完全 随机 等 概 。 Simmons 和 Holdridge 利用 先 验 不 等 概 性 , 攻破 一 语音 加 密 系统 ， 
明文 有 2724.3 10°, URI, I 16 一 18b， 用 预先 选 定 的 10( 约 2'7) 明 密 文 对 ， 
将 收 到 的 密 文 与 存储 的 数 比 较 ， 符 合 者 则 接收 ， 否 则 弃 之 ， 并 还 原 录音 ， 则 有 90 % 以 上 
的 原始 语音 可 还 原 。 

可 在 明文 分 组 中 加 上 随机 乱 数 得 

M'=2'M+ r 
式 中 ,1 是 + 的 二 元 表示 位 数 。 解 得 M' 后 除去 后 + 位 乱 数 r+ 即 可 。 
(3) 用 于 签名 时 ， 要 采用 Hash 函数 。 


5.2.5 RSA 的 实现 


硬件 实现 RSA 的 最 快速 度 也 仅 为 DES 的 1/1000, 512b 模 下 的 VLSI 硬件 实现 只 达 
64kb/s。 目 前 计划 开发 512b RSA， 达 IMb/s 的 芯片 。1024b RSA 加 密 芯片 也 在 开发 中 。 
人 们 在 努力 将 RSA 体制 用 于 灵巧 卡 技术 中 。 有 关 RSA 的 硬件 实现 的 研制 和 一 些 产品 ， 
可 参阅 [Schneier 1996]。508b RSA 的 硬件 实现 的 速率 可 达 225kb/s。 

软件 实现 RSA 的 速度 只 为 DES 的 软件 实现 的 100， 在 速度 上 RSA 无 法 与 对 称 密 
钥 体 制 相 比 ， 因 而 RSA 体制 多 只 用 于 密 钥 交换 和 认证 。512b RSA 的 软件 实现 的 速率 可 
达 11kb/s. 

如 果 适 当选 择 RSA 的 参数 , 可 以 大 大 加 快速 度 。 例 如 , 选 e 为 3, 17 或 65 537(2"+1) 
的 二 进 制 表示 式 中 都 具有 两 个 1， 大 大 减少 了 运算 量 。X. 509 建议 用 65 537，PEM 建议 
用 3 [RFC1423 1993], PKCS#1 建议 用 65 537[RSA Lab 1993]. 在 消息 后 填充 随机 数字 时 ， 
不 会 出 现任 何 安全 问题 。 

中 国 剩余 定理 可 以 用 来 加 速 密 钥 运算 [Rabin 1979]。 
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53 ”ElIGamal 密码 体制 


ElGamal 密码 体制 由 ElGamal 提出 [EIGamal 1984，1985]， 它 是 一 种 基于 离散 对 数 问 
题 的 双 钥 密码 体制 ， 既 可 用 于 加 密 ， 又 可 用 于 签名 。 有 关 离 散 对 数 的 计算 可 参阅 相关 文 
献 [Wang 等 1999]. 


5.3.1 WHER 


S 妃 是 一 个 有 pp 个 元 素 的 有 限 域 ,，p 是 一 个 素数 ， 令 g 是 Z (Z, PRE 0 元 素 ) 
中 的 一 个 本 原 元 或 其 生成 元 。 明 文集 M 为 Zg BLE CH Z XZ," 
A: Eg <p 的 生成 元 )， 计 算 公 钥 
B=g" modp (5-19) 
密 钥 : a<p 


5.3.2 ”加 解密 


选择 随机 数 keZ,1， 且 (kp 一 1)= 1， 计 算 : 
yı=g*modp 〔 随 机 数 k 被 加 密 ) (5-20) 
y= mB* mod p 〈 明 文 被 随机 数 上 和 公 钥 5 加 密 ) (5-21) 
其 中 m 是 要 发 送 的 明文 组 。 密 文 由 上 述 两 部 分 yy、ys 级 联 构 成 ， 即 密 文 c= yilly2。 
特点 : 密 文 由 明文 和 所 选 随机 数 k 来 定 ， 因 而 是 非 确 定性 加 密 ， 一 般 称 之 为 随机 化 
(Randomized) 加 密 ， 对 同一 明文 由 于 不 同时 刻 的 随机 数 不 同 而 给 出 不 同 的 密 文 。 其 代 
价 是 使 数据 扩展 一 倍 。 
解密 : 收 到 密 文 组 ec 后， 计算 
m=yy "=mpB /gr "= mg/g mod p (5-22) 
例 5-5 选 p = 2579, g=2, a= 765， 计算 出 p= g% mod 2579=949。 若 明文 组 为 
m= 1299， 今 选 随机 数 上 = 853， 可 算出 y=2%3 mod 2579 = 435 及 y=1299 949"? mod 
2579 = 2396。 密 文 c = (435，2396)。 解 密 时 由 c 可 算出 消息 组 M = 2396/(435)”* mod 
2579 = 1299。 


5.3.3 ”安全 性 


本 体制 基于 乙 "“ 中 有 限 群 上 的 离散 对 数 的 困难 性 。Haber 和 Lenstra 曾 指出 mod p 生 
成 的 离散 对 数 密码 可 能 存在 陷 门 ， 有 些 “ 弱 ”素数 p 下 的 离散 对 数 较 容易 求解 。 但 文献 
[Gordon 1992] 中 已 证 明 ， 不 难 发 现 这 类 陷 门 从 而 可 以 避免 选用 这 类 素数 。 

有 关 随 机 化 加 密 的 统一 论述 可 参阅 相关 文献 。McCurely 将 ElGamal 方案 推广 到 Zp 
上 的 单元 群 ， 并 证 明 其 破译 难度 至 少 相当 于 分 解 ma， 破译 者 即使 知道 了 n 的 分 解 ， 也 还 
要 解 模 n 的 因子 的 Diffie-Hellman 问题 [Menezes 等 1997]. 
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54 椭圆 曲线 密码 体制 


椭圆 曲线 (Elliptic Curve) 作为 代数 几何 中 的 重要 问题 已 有 一 百 多 年 的 研究 历史 ， 
积累 了 大 量 的 研究 文献 ， 但 直到 1985 年 ，N. Koblitz 和 V. Miller 才 独 立 将 其 引入 密码 学 
中 ， 成 为 构造 双 钥 密码 体制 的 一 个 有 力 工 具 [Koblitz 1987, Miller 1985]。 利 用 有 限 域 
GF(2”) 上 的 椭圆 曲线 点 集 所 构成 的 群 上 定义 的 离散 对 数 系统 ， 可 以 构造 出 基于 有 限 域 上 
离散 对 数 的 一 些 如 Diffie-Hellman, ElGamal, Schnorr, DSA 等 双 钥 体制 。 对 这 种 椭圆 曲 
线 离散 对 数 密码 体制 (ECDLC) 安全 性 的 研究 已 进行 了 十 余年 ， 尚 未 发 现 明显 的 弱点 。 
它 有 可 能 以 更 小 规模 的 软 、 硬 件 实现 有 限 域 上 具有 相同 安全 性 的 同类 体制 ， 具 体内 容 可 
参阅 相关 文献 [Menezes 等 1993a; Koblitz 1987; Demytko 1993; Koyama 等 1991]. 

目前 ， 大 多 数 使 用 公 钥 密码 学 进行 加 密 和 数字 签名 的 产品 和 标准 都 使 用 了 RSA 算 
法 。 为 了 保证 RSA 的 安全 性 ， 近 年 来 所 采用 的 密 钥 长 度 不 断 增加 ， 这 直接 导致 RSA 计 
算 量 的 增加 ， 对 于 其 应 用 造成 影响 。 最 近 ， 椭 圆 曲 线 密码 ECC) 对 RSA 的 应 用 提出 了 
巨大 挑战 。 在 公 钥 密码 的 标准 化 过 程 中 ，IEEE P1363 标准 已 经 考虑 使 用 ECC. 

与 RSA 相 比 ，ECC 的 主要 优点 是 可 以 使 用 比 RSA 更 短 的 密 钥 获得 相同 水 平 的 安全 
性 ， 其 计算 量 大 大 减少 。 另 一 方面 ,虽然 ECC 的 理论 已 经 成 熟 ， 但 直到 最 近 才 出 现 这 方 
面 的 产品 ， 对 ECC 的 密码 分 析 刚 刚 起 步 ， 因 此 ECC 的 可 信 度 还 有 待 进一步 验证 。 

ECC 比 RSA 更 难 描述 。 关 于 ECC 的 完整 数学 描述 已 经 超出 本 书 的 范围 。 

5.4.1 实数 域 上 的 椭圆 曲线 

椭圆 曲线 并 不 是 椭圆 。 之 所 以 称 为 椭圆 曲线 ， 是 因为 它们 与 计算 椭圆 周 长 的 方程 相 
似 ， 也 用 3 次 方程 来 表示 。 一 般 来 说 ， 椭 圆 曲 线 的 3 次 方程 形式 为 

y +axy+by=x +e +dx+e 

HF, a, b, c d 和 e 是 实数 ，x My 在 实数 上 取 值 。 事 实 上 ， 将 方程 式 限制 为 下 述 形 
式 就 已 经 足够 : 











2_ 3 

y =x +ax+b (5-23) 
因为 方程 中 的 指数 最 高 为 3， 所 以 称 为 3 次 方程 。 椭 圆 曲 线 的 定义 中 还 包含 一 个 无 
穷 远 点 或 叫做 零点 的 元 素 ， 记 为 0， 这 个 概念 将 在 后 面 讨论 。 为 了 画 出 该 曲线 ， 需 要 
计算 : 








y= x +ax+b 
对 于 给 定 的 a Alb, WR x 的 每 个 取 值 ， 需 画 出 y 的 正 值 和 负 值 ， 这 样 每 一 曲线 都 
关于 y=0 对 称 。 图 5-1 给 出 了 椭圆 曲线 的 两 个 例子 。 
从 图 中 可 见 ， 椭 圆 曲 线 关 于 y=0 对 称 。 
现在 考虑 满足 式 (5-23) 的 所 有 点 (x, y) 和 元 素 O 所 组 成 的 点 集 Ela, b) (a,b) 的 
值 不 同 ， 则 相应 的 集合 Ela, 5b) 也 不 同 。 图 5-1 中 的 两 条 曲线 可 以 分 别 用 集合 E(-1,0) 和 
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图 5-1 椭圆 曲线 的 两 个 例子 


E(1, 1) 表 示 。 

可 以 证 明 : 只 要 局 +ax+b 无 重复 因子 ， 则 可 基于 集合 Ela, 5b) 定义 一 个 群 。 这 等 价 
于 条 件 : 

4a’ +27b #0 (5-24) 

下 面 在 Ela, 5) 上 定义 加 法 运算 ， 用 “+” 表 示 ， 其 中 a 和 4b 满足 式 (5-24)。 用 几何 
术语 可 这 样 定义 加 法 的 运算 规则 ， 如 果 椭 圆 曲 线 上 的 3 个 点 位 于 同一 直线 上 ， 那 么 它们 
的 和 为 0。 进 一 步 可 定义 椭圆 曲线 上 的 加 法 的 运算 规则 如 下 : 

(1) O 是 加 法 的 单位 元 。 这 样 有 O=-O; 对 于 椭圆 曲线 上 的 任意 一 点 P,， 有 P+0= 





P. 

(2) BE Pi= (x, y ) 是 椭圆 曲线 上 的 一 点 (图 5-1), 它 的 加 法 逆 元 定义 为 P= -P= (x， 
y) 

这 是 因为 Pl 和 P 的 连 线 延 长 到 无 穷 远 时 ， 得 到 椭圆 曲线 上 的 另 一 点 O， 即 椭圆 曲 
KEAN 3 A Pi. PAI OFLA, PULP) +P2+O=O, Pi+P,=0O， 即 P= -Pio 

(3) 设 O 和 RR 是 椭圆 曲线 上 x AAP, OF R 的 定义 如 下 : 画 一 条 通过 O 
和 RR 的 直线 与 椭圆 曲线 交 于 Pi (这 一 交点 是 唯一 的 ， 除 非 所 做 的 直线 是 O 点 或 R 点 的 
切线 ， 此 时 分 别 取 Pl=QO 和 Pl=R)。 由 Q+R+P1=O 得 O+R= -Pi。 

(4) 点 @ 的 倍数 定义 如 下 : 在 O 点 做 椭圆 曲线 的 一 条 切线 ， 设 切线 与 椭圆 曲线 交 于 
点 S$， 定义 20 =Q+0= 3。 类似 地 ， 可 以 定义 30=0O+O+O+…， 等 等 。 

以 上 定义 的 加 法 具有 加 法 运算 的 一 般 性 质 ， 如 交换 律 和 结合 律 等 。 


5.4.2 ABRE Z, 上 的 椭圆 曲线 


椭圆 曲线 密码 体制 使 用 的 是 变 元 和 系数 均 为 有 限 域 中 元 素 的 椭圆 曲线 。 密 码 应 用 中 
所 使 用 的 两 类 椭圆 曲线 是 定义 在 有 限 域 Zz 上 的 素 曲线 (Prime Curves) 和 在 GF(2”) 上 构 
造 的 二 元 曲线 。 文 献 [Fermandes 1999] 指 出 ， 因 为 不 需要 二 元 曲线 所 要 求 的 位 混淆 (Bit 
Fiddling) 运算 ， 软 件 应 用 最 好 使 用 素 曲线， 而 对 于 硬件 应 用 ， 最 好 使 用 二 元 曲线 ， 它 可 
以 用 非常 少 的 门 电路 来 实现 快速 且 功能 强大 的 ECC 密码 体制 。 本 节 主 要 讨论 有 限 域 上 的 
椭圆 曲线 ， 第 5.4.3 节 将 讨论 GF(2”") 上 构造 的 椭圆 曲线 。 

对 于 有 限 域 Z, 上 的 椭圆 曲线 ， 使 用 变 元 和 系数 均 在 O~p-1 的 整数 集 上 取 值 的 3 次 
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方程 ， 其 中 p 是 大 素数 ， 所 执行 的 计算 均 是 模 p 运算 。 与 关于 实数 时 的 情形 一 样 ， 限 制 





方程 具有 式 (5-23) 的 形式 ， 但 此 处 系数 和 变 元 均 限 制 


tzt: 


y mod p = (x° + ax + b) mod p 


例 5-6 a=1, b=1, x=9, y=7, p=23 时 可 满足 式 


(5-24): 


7 mod 23 = (9° + 9 + 1) mod 23 


49 mod 23 = 739 mod 23 
3=3 


(5-25) 


下 面 考虑 所 有 满足 式 (5-25)〉 的 整数 对 (x，y) 和 无 穷 远 点 O 组 成 的 集合 Ea b)o 


例 5-7 取 p=23。 考 虑 椭圆 曲线 方程 上 =x +x+1， 这 里 a=b= 1。 


注意 ， 该 方程 与 图 5-1 (b) 中 的 方程 是 相同 的 。 对 E23(1，1)， 只 关心 满足 模 p 方程 
的 ， 从 0, 0) 到 〈p-l, p-1) 的 象限 中 的 非 负 整数 。 表 5-4 中 列 出 了 若干 点 〈 除 了 元 点 


O 之 外 )， 这 些 点 是 Ex3(1, 1) 的 一 部 分 。 
表 5-4 椭圆 曲线 Ez (1, 1) 上 


OD a2. 


的 点 





人 03, 
OD ca, 
16) 07. 
ET ar, 
6 08, 
H) as, 
4) 09. 
G19) 08, 


19) 
7) 
16) 
3) 
20) 
3) 
20) 
5) 
18) 


可 以 证 明 ， 若 (x + ax+b)mod p 无 重复 因子 ， 则 基于 集合 E (a,b) 可 以 定义 一 个 有 


BR Abel 群 。 这 等 价 于 下 列 条 件 : 

(4o + 27b* mod p # 0mo 
注意 : A (5-26) 和 式 (5-24) 具有 相同 的 形式 。 
E,(a, b) 上 的 加 法 运算 构造 与 定义 在 实数 上 的 椭圆 由 

对 任何 点 P,QOeE,(a,b)， 有 : 
(1) P+O=P. 





dp 


(5-26) 


上 线 中 描述 的 代数 方法 是 一 致 的 。 


(2) 车 P=(xp,yp)， 则 P+(xp, -yp)= O。 点 (xp, yp) 是 PP 的 负 元 ， 记 为 -P。 
例如 ， 对 于 Ez3(1, 1) 上 的 点 P=(13,7)， 有 -P= (13，-7)。 而 -7 mod 23 = 16， 因 此 ， 


-P=(13, 16)， 该 点 也 在 Ez3(1, 1) 上 。 


(3) 车 P=(xp,yp)，Q=(xo,yo)， 且 Pz#-OQ， 则 R=P+QO=(xn,yr) 由 


定 : 


Xp =(A? -xp -3 ‘mod p 


Vp =(A(Xp — Xr) — Vp )mod p 








下 列 规 则 确 
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其 中 





[22+ P20 
1 Xo —Xp 
[222 Jot p HiP =O 
2yp 
(4) 乘法 定义 为 重复 相 加 。 如 4P=P+P+P+P. 例如, 取 已 3(11) 上 的 已 =(3, 10), 
O=(9,7)， 那 么 
-( EA )moaas =(=)moa2s =(—4}moa23=11 
9-3 6 2 
Xp = (1? —3—9)mod 23 = 109 mod 23 =17 
Yr =(11(3 -17) —10)mod 23 = -164 mod 23 = 20 
所 以 P+O=(17,20) 。 为 计算 2P， 首 先 求 
A= (Ei oa 23= (Z )roa 23= (3) mod 23 =6 
2x10 20 4 
上 面 等 式 的 最 后 一 步 需要 求 4 在 Z 中 的 乘法 逆 元 。 
xm=(6-3-3)mod23=30mod23=7 
Yr =(6(3-7)-10)mod23 =(-34)mod23 = 12 





可 见 2P=(7, 12)。 
为 了 确定 各 种 椭圆 曲线 密码 的 安全 性 , 需要 知道 定义 在 椭圆 曲线 上 的 有 限 Abel 群 中 
点 的 个 数 。 在 有 限 群 Ea, 5) 中 ， 点 的 个 数 NN 的 范围 是 : 
p+1l-2/p <N<P+1+2/p 
所 以 ， 对 于 大 数 p，Ey(a, 5) 上 点 的 个 数 约 等 于 甩 , 中 元 素 的 个 数 。 


5.4.3 ”GF(2") 上 的 椭圆 曲线 


HRE GF(2”) 由 2” 个 元 素 及 定义 在 多 项 式 上 的 加 法 和 乘法 运算 组 成 。 给 定 m, X 
GF(2”) 上 的 椭圆 曲线 , 可 以 使 用 变 元 和 系数 均 在 GF(2”) 上 取 值 的 3 次 方程 , HAH GF”) 
中 的 算术 运算 规则 来 进行 计算 。 

可 以 证 明 ,GF(2”) 上 适合 用 于 椭圆 曲线 密码 的 3 次 方程 与 马上 的 3 次 方程 有 所 不 同 ， 
其 形式 如 下 : 





y txy=xtar+b (5-27) 
其 中 ， 变 元 x 和 yy 以 及 系数 a 和 4b 是 GF(2”) 中 的 元 素 ， 且 所 有 计算 均 在 GF(2”) 中 进行 。 
考虑 由 满足 式 〈5-27) 的 所 有 整数 对 (x,y) 和 无 穷 远 点 组 成 的 集合 E,, (a,b) o I 


以 证 明 ， 只 要 b0， 则 可 基于 集合 E,, (a,b) 定义 一 个 有 限 Abel 群 。 加 法 的 运算 规则 


如 下 : 
对 所 有 点 P, O € E, (a,b) 


(1) P+O=P. 
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(2) Æ P=(xp, yp)» WW P+ (xp,xp+yp)=Oo M (Xps Xp typ) Æ P WK, 记 为 -P。 
(3) E P = (xp, Yp)» Q=(%, Yo)? HPQ, P+-0, 则 R=P+Q= (xr, yg) 以 
下 规则 来 确定 : 

















rA t+At+XptXgta 


Vp =A(Xp + XR)+ Xr + yp 


a-(% =a 
Xo +Xp 
(4) 车 P=(xp,yp)， 则 R=2P=(xa, ys) 由 下 列 规则 确定 : 


Xa =A +A+a 


其 中 ， 





Yr =x +(A+1)x, 


其 中 ， 





A=xp +22 


Xp 


5.4.4 ”椭圆 曲线 密码 


将 ECC 中 的 加 密 算法 运算 与 RSA 中 的 模 乘 运算 相对 应 ， 将 ECC 中 的 乘法 运算 与 
RSA 中 的 模 寡 运算 相对 应 。 要 建立 基于 椭圆 曲线 的 密码 体制 ， 则 需要 类 似 大 合 数 分 解 或 
求 离散 对 数 这 样 的 “数学 难题 ”。 

考虑 方程 0=kP， 其 中 OQ，PeE,(a,b) 且 k<p。 对 于 给 定 的 k 和 PP 计算 Q 比较 容 
易 ， 而 对 给 定 的 O 和 P， 计 算 k 则 比较 困难 。 

例 5-8 ”由 方程 如 mod23 = (x? +9x+17)mod23 所 定义 的 群 E23(9, 17)。 

以 P=(16,5) 为 底 的 O=(4,5) 的 离散 对 数 是 多 少 ? 穷 举 攻击 方法 通过 计算 P 的 倍 
数 来 寻找 Qo FF: 

P=(16,5); 2P= (20,20); 3P=(14,14); 4P=(19,20); 5P= (13,10); 6P=(7,3); 7P= 
(8,7); 8P=(12,17); 9P=(4,5) 

KIX 9P =(4,5)=0 , UA P = (16, 5) 为 底 的 O = (4, 5) 的 离散 对 数 k=9。 在 实际 
中 大 的 值 非常 大 ， 从 而 使 穷 举 攻击 方法 不 可 行 。 

在 一 些 文献 中 ， 分 析 了 几 种 用 椭圆 曲线 实现 加 /解密 的 方法 。 本 节 将 介绍 一 种 最 简单 
的 方法 。 

首先 必须 把 要 发 送 的 消息 明文 m 编码 成 形式 为 (x,y) 的 点 Pins 并 对 点 Pr 进行 加 密 ， 
然后 对 密 文 进行 解密 。 注 意 ， 不 能 简单 地 将 消息 编码 成 点 的 x 坐标 或 y 坐标 ， 因 为 并 不 
是 所 有 的 坐标 都 在 E,(a,b) P, WK 5-4 所 示 。 将 消息 编码 成 点 Pw 的 方法 有 多 种 ， 这 里 
不 讨论 这 些 方法 。 但 需要 说 明 的 是 ， 确 实 存在 比较 直接 的 编码 方法 。 

首先 ， 挑 选 一 个 大 的 整数 g 以 及 式 (5-25) 或 式 (5-27) 中 的 椭圆 曲线 参数 a 和 b, 
这 里 4 为 素数 p 或 是 形 为 2” 的 整数 。 由 此 可 以 定义 出 点 的 椭圆 群 E (a,b); 其 次 ,在 
E (a,b) 中 挑选 基点 G= (y) G 的 阶 为 一 个 非常 大 的 数 n。 椭圆 曲线 上 点 G 的 阶 n 是 





用 





发 
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使 得 nG =O 成 立 的 最 小 整数 。 

每 个 用 户 4 选择 一 个 私 钥 n, ， 并 产生 公 钥 P=nxG。 

E 4 要 将 消息 Pn 加密 后 发 送 给 B, WA 随机 选择 一 个 正 整数 上 并 产生 密 文 C,， 
该 密 文 是 一 个 点 对 : 





Cy = {kG, P, + KP,} 
注意 ， 此 处 使 用 了 用 户 B HAH P, o 
E B8 要 对 密 文 解密 ， 则 需要 用 第 二 个 点 减 去 第 一 个 点 与 B 的 私 钥 之 积 : 
P, +kP, —1,(kG) =P, + k(ngG) —n,(kG) = P, 

从 上 面 可 以 发 现 ，4 通过 将 kP, Pr FAIR AB P,， 因 为 只 有 4 知道 上， 所 以 
即使 忆 是 公 钥 ,除了 4 之 外 ,任何 人 均 不 能 除去 伪装 。 攻 击 者 想 要 恢复 明文 消息 ， 就 必 
须 通 过 G 和 kG 求 出 kx， 但 这 被 认为 是 非常 困难 的 。 

下 面 举例 说 明 椭圆 曲线 的 加 密 过 程 。 取 p=751，E,(-1,188)， 即 其 椭圆 曲线 方程 为 
y =x -x4188, G=(0,376) ,假定 4 要 将 已 经 编码 成 为 椭圆 曲线 上 的 点 忆 = (562, 201) 
的 消息 发 送 给 B, A A 挑选 随机 数 k=386，B 的 公 钥 户 =(201,5), MAH 

kG =386x(0,376) =(676, 558) 
P, + kP, =(562,201)+386x(201,5) = (385,328) 

于 是 ，4 发 送 的 密 文 是 {(676,558), (385,328)} 。 


5.4.5 ”椭圆 曲线 的 安全 性 


ECC 的 安全 性 建立 在 由 kP 和 PP 确定 的 困难 程度 之 上 ， 这 个 问题 称 为 椭圆 曲线 的 
离散 对 数 问题 。Pollard Rho 方法 是 已 知 求 椭 圆 曲线 对 数 的 最 快 的 方法 。 表 5-5 对 这 种 方 
法 和 分 解 两 个 素数 之 积 的 一 般 数 域 筛 法 进行 了 比较 。 由 表 5-5 可 知 ，ECC 使 用 的 密 钥 比 
RSA 中 使 用 的 密 钥 要 短 得 多 ， 而 且 在 密 钥 长 度 相 同时 ，ECC 与 RSA 所 执行 的 计算 量 也 
差不多 [Jurisic 等 1997]。 因 此 ， 与 具有 同等 安全 性 的 RSA 相 比 ， 由 于 ECC 使 用 更 短 的 
密 铀 ， 所 以 ECC 所 需 的 计算 量 比 RSA 少 。 

325-5 椭圆 曲线 密码 和 RSA 在 计算 量 上 的 比较 
用 Pollard rho 方法 求 椭圆 曲线 对 数 使 用 一 般 数 域 筛 法 进行 整数 因子 分 解 




















密 钥 长 度 (b) MIPS 年 密 钥 长 度 b) MIPS 年 
一 = 512 3x10° 
= = 768 2x10 
150 3.8x10" 1024 3x10"! 
= = 1280 1x10" 
205 7.110" 1536 3x10" 
234 1.6 x10 2048 3x10” 
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5.4.6 ECC 的 实现 


美国 NeXT Computer 公司 已 开发 出 快速 椭圆 加 密 (FEE) 算法 ， 其 密 钥 为 容易 记忆 
的 字 串 。 加 拿 大 Certicom 公司 也 开发 出 可 实用 的 椭圆 曲线 密码 体制 (ECC) 的 集成 电路 
(155b 和 12 000 个 门 的 器 件 ) [Certicom 1996]。 该 电路 可 实现 高 效 加 密 、 数 字 签 名 、 认 
证 和 密 钥 管理 等 。Certicom 公司 开发 的 产品 包括 : (CARDSECRETS， 为 PC 卡 信息 安 
全 模块 ， @)FAXSECRETS， 是 独立 应 用 的 安全 传真 模块 @M*BIUS 可 集 入 Internet 或 
PNTS 访问 控制 的 安全 解决 方案 。 日 本 的 Mitsushita 公司 、 法 国 的 Thompson 公司 、 德 国 
的 Siemens 公司 和 加 拿 大 Waterloo 大 学 等 也 都 在 实现 这 一 体制 。 随 着 大 整数 分 解 和 并 行 
处 理 技术 的 进展 ， 当 前 采用 的 公 钥 体制 必须 进一步 增长 密 钥 ， 这 将 使 其 速度 更 慢 、 更 加 
复杂 。ECC 则 可 用 较 小 的 开销 (所 需 的 计算 量 、 存 储量 、 带 宽 、 软 件 和 硬件 实现 的 规模 
等 ) 和 时 延 〈 加 密 和 签名 速度 高 ) 实现 较 高 的 安全 性 ， 特 别 适 用 于 计算 能 力 和 集成 电路 
空间 受 限 〈 如 PC 卡 )、 带 宽 受 限 〈 如 无 线 通信 和 某 些 计算 机 网 络 )， 以 及 要 求 高 速 实现 
的 情况 。 

Certicom 公司 对 ECC 和 RSA 进行 了 对 比 , 在 实现 相同 的 安全 性 下 , ECC 所 需 的 密 
钥 量 比 RSA 少 得 多 ， 如 表 5-6 所 示 。 其 中 “MIPS 年 ”表示 用 每 秒 完成 100 万 条 指令 的 
计算 机 所 需 工作 的 年 数 ，m 表示 ECC 的 密 钥 由 2m 点 构成 。 以 40MHz 的 钟 频 实现 155b 
HJ ECC, 每 秒 可 完成 40 000 次 椭圆 曲线 运算 ， 其 速度 比 1024b HJ DSA Fil RSA 48 10 倍 。 

表 5-6 ECC 和 RSA 的 对 比 


















































ECC 的 密 钥 长 度 m MIPS 年 
160 1012 
320 1036 
600 1078 





1200 120 000 10 168 


ECC 特别 适用 于 如 下 情况 : 

(1) 无 线 Modem 的 实现 。 对 分 组 交换 数据 网 提供 加 密 , 在 移动 通信 器 件 上 运行 4MHz 
的 68330 CPU, ECC 可 实现 快速 Diffie-Hellman 密 钥 交 换 ， 并 使 密 钥 交换 占用 的 带宽 极 
小 化 ， 将 计算 时 间 从 大 于 60s 降 到 2s 以 下 。 

(2) Web 服务 器 的 实现 。 在 Web 服务 器 上 集中 进行 密码 计算 会 形成 瓶颈 ，Web 服务 
器 上 的 带宽 有 限 使 带宽 费用 高 。 采用 ECC 可 节省 计算 时 间 和 带宽 ， 且 通过 算法 的 协商 更 
易于 处 理 兼 容 性 。 

(3) 集成 电路 卡 的 实现 。ECC 无 须 协 处 理 器 就 可 以 在 标准 卡 上 实现 快速 、 安 全 的 数 
字 签 名 ， 这 是 RSA 体制 难以 做 到 的 。ECC 可 使 程序 代码 、 密 钥 、 证 书 的 存储 空间 极 小 
化 ， 数 据 帧 最 短 ， 便 于 实现 ， 大 大 降低 了 IC 卡 的 成 本 。 


5.4.7 ”当前 ECC 的 标准 化 工作 


IEEE, ISO 和 ANSI 等 标准 化 组 织 正在 着 手 制定 有 关 标准 [Certicom 1996; Menezes 
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等 1996]。 


1. IEEE P1363 

椭圆 曲线 体制 已 被 纳入 IEEE 公 钥 密码 标准 P1363， 其 中 包括 加 密 、 签 名 、 密 钥 协 
议 机 制 等 。 该 标准 完全 支持 Zp 和 Fy 上 的 椭圆 曲线 体制 。 对 于 Fz 情况 ， 它 支持 任意 子 
IÈ Fa Fam 的 多 项 式 基 和 正规 基 。 标 准 P1363 中 也 确定 了 离散 对 数 (素数 模 下 整数 乘 
群 子 群 中 的 ) 和 RSA 的 加 密 和 签名 。 其 最 新 的 草案 可 从 Web 地 址 http://stdssbds.ieee. 
org/groups/ 1363/index.html 得 到 。 


2. ANSI X9 

椭圆 曲线 数字 签名 算法 (ECDSA) 标准 ANSI X9.62 是 X9F1 工作 组 提出 的 一 个 草 
Ro ECDSA 给 出 一 种 采用 椭圆 曲线 实现 的 数字 签名 算法 ， 它 类 似 于 NIST 的 数字 签名 算 
ike ANSI X9.63 是 由 X9F1 中 的 一 个 新 的 工作 小 组 提出 的 椭圆 曲线 密 钥 协 商 和 传输 协议 
标准 。 它 提出 了 几 种 采用 椭圆 曲线 实现 的 密 钥 协商 和 密 钥 传 输 的 方法 。 

3. ISO/IEC 

《有 后 绥 的 数字 签名 (Digital Signature with Appendix )) CD 14888-3 给 出 对 任意 长 的 
消息 实现 有 后 级 椭圆 曲线 数字 签名 算法 , 它 类 似 于 EIGamal, 特别 类 似 于 DSA 签名 算法 。 

4. AISO/IEC 

互联 网 工程 任务 组 (Internet Engineering Task Force, IETF) 提出 的 密 钥 确 定 协议 
OAKLEY KEY 是 一 种 密 钥 协 商 协议 ， 它 类 似 于 Diffie-Hellman 协议 。 不 同 的 组 ， 包 括 
F2155h 和 F2210 上 的 椭圆 曲线 ,都 可 以 采用 ,该 协议 草案 稿 可 从 Web 地 址 http://www.ietf. 


cnri.reston.va.us/ 得 到 。 


5. ATM 

异步 传输 模式 (ATM) 论坛 技术 委员 会 提出 的 ATM 的 安全 性 规范 草案 提出 了 ATM 
网 的 安全 机 制 所 提供 的 安全 业务 包括 机 密 性 、 认 证 性 、 数 据 的 完整 性 和 访问 控制 。 它 文 
持 各 种 体制 ， 包 括 对 称 体制 (如 DES)、 非 对 称 体制 (如 RSA) 和 椭圆 曲线 体制 。 


5.4.8 ”椭圆 曲线 上 的 RSA 密码 体制 


有 文献 [Koyama 等 1991] 曾 提出 利用 有 妃 上 的 一 类 特殊 的 椭圆 曲线 构造 类 似 于 RSA 的 
密码 体制 。Demytko 也 提出 类 似 方案 。Vanstone 和 Zuccherato[Vanstone 等 1997] 提 出 另 
一 种 方案 .有 关 这 类 方案 的 安全 性 分 析 , 可 参阅 相关 文献 [Kurosawa 等 1994; Kaliski 1997]。 


5.4.9 用 圆锥 曲线 构造 双 钥 密码 体制 


有 人 提出 用 圆锥 曲线 构造 双 钥 密码 体制 ， 但 由 于 圆锥 曲线 是 二 次 的 ， 已 证 明 存在 亚 
指数 分 解 算法 ， 其 上 求 离散 对 数 的 困难 程度 等 价 于 Fp 上 的 离散 对 数 。 

用 超 椭 贺 曲 线 构造 双 钥 体制 方法 可 参阅 相关 文献 [Koblitz 1989; Adleman 等 1994; 
Shizuya 等 1991]。 

ElGamal 算法 是 基于 GF(2”) 中 乘 群 上 定义 的 离散 对 数 。 这 一 算法 不 难 推 广 到 任意 群 
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G PETE H 上 定义 的 离散 对 数 。 如 果 在 H 中 的 离散 对 数 问 题 是 困难 问题 ， 则 可 将 
ElGamal (KHH ETIE H E, 其 中 geG, H H={g, ;>0}， 明 文集 M=G， 密 文集 C= 
GXG， 随 机 数 keZim， 其 他 与 ElGamal 体制 一 样 。 特 别 强调 的 是 ， 在 有 限 域 上 椭圆 曲线 
的 点 集 所 构成 的 群 G 上 ， 也 可 定义 离散 对 数 。 当 所 用 参数 足够 大 时 ， 求 逆 在 计算 上 是 
不 可 行 的 。 这 就 为 构造 双 钥 密码 体制 提供 了 新 的 途径 。 

在 此 基础 上 构造 的 EIGamal 密码 体制 ， 其 数据 展 宽 系 数 为 4， 另外 在 椭圆 曲线 EE 上 
产生 所 需 的 点 还 没有 方便 的 方法 .在 安全 性 方面 , Menezes, Okamoto 和 Vanstone [Menezes 
等 1991] 指 出 应 避免 选用 超 奇异 〈Supersingular) 曲线 ， 否 则 椭圆 曲线 群 上 的 离散 对 数 问 
题 退化 为 有 限 域 低 次 扩 域 上 的 离散 对 数 问 题 ， 从 而 能 在 多 项 式 时 间 上 可 解 。 他 们 还 指出 ， 
若 所 用 循环 子 群 的 阶 数 达 21%， 则 可 提供 足够 的 安全 性 。 

Menezes 和 Vanstone 曾 提出 另 一 种 有 效 的 方法 : 以 椭圆 曲线 作为 “掩蔽 ” 明文 和 密 
文 可 以 是 域 中 而 不 一 定 要 求 为 E 上 的 点 ) 任意 非 0 有 序 域 元 素 。 这 和 原来 的 ElGamal 
密码 体制 一 样 ， 因 而 这 一 体制 的 数据 扩展 系数 为 2[Menezes 1993; Okamoto 等 1994; 
Menezes 等 1993b] 。 

Buchman 和 William 提出 一 种 用 虚 二 次 数 域 群 构造 公 钥 密码 ， 但 在 文献 [MecCurley 
1990] 提 出 亚 指数 时 间 计 算 离散 对 数 算法 后 已 无 实用 价值 。 
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5.5.1 引言 


1984 年 ，Shamir 提出 了 一 种 基于 身份 的 加 密 方案 (Identity-Based Encryption，IBE) 
的 思想 ， 并 征询 具体 的 实现 方案 , 方案 中 不 使 用 任何 证 书 ， 直 接 将 用 户 的 身份 作为 公 钥 ， 
以 此 来 简化 公 钥 基 础 设施 (Public Key Infrastructure, PKI) 中 基于 证 书 的 密 钥 管理 过 程 。 
例如 用 户 4 给 用 户 B 发 加 密 的 电子 邮件 ，B 的 邮件 地 址 是 bob@company.com, 4 只 要 将 
bob@company.com 作为 B 的 公开 钥 来 加 密 邮 件 即 可 。 当 Bob 收 到 加 密 的 邮件 后 , 他 与 一 
个 第 三 方 一 一 密 钥 服务 器 联系 ， 和 向 CA 证 明 自 己 身份 一 样 ，B 向 服务 器 证 明 自 己 ， 并 
从 服务 器 获得 解密 用 的 秘密 钥 ， 再 解密 就 可 以 阅读 邮件 。 该 过 程 如 图 5-2 所 示 。 


F rae 加 B 向 服务 器 证 明 自己 
ERA ID 用 “bob@company.com” 加 密 邮 件 | ET a s 
© 为 B 产 生 秘密 钥 下 


图 5-2 ”基于 身份 的 加 密 方案 示例 


与 现 有 的 安全 电子 邮件 相 比 ， 即 使 B 还 未 建立 他 的 公 钥 证 书 ，4 也 可 以 向 他 发 送 加 
密 的 邮件 。 因 此 这 种 方法 避免 了 公 钥 密码 体制 中 公 钥 证 书 从 生成 、 签 发 、 存 储 、 维 护 、 
更 新 、 撤 销 这 一 复杂 的 生命 周期 过 程 。 自 Shamir 提出 这 种 新 思想 后 ， 由 于 没有 找到 有 效 
的 实现 工具 ， 其 实现 一 直 是 一 个 公开 的 问题 。 直 到 2001 年 ，Dan Boneh fil Matt Franklin 
获得 了 数学 上 的 突破 ， 提 出 了 第 一 个 实用 的 基于 身份 的 公 钥 加 密 方案 。 他 们 的 方案 使 
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椭圆 曲线 上 的 双 线 性 映射 〈 称 为 Weil 配对 和 Tate 配对 )， 将 用 户 的 身份 映射 为 一 对 公开 
钥 /秘密 钥 对 。 双 线性 映射 是 满足 Pair (aX, bY) =Pair (bY aY) 的 映射 Pair， 其 中 a 和 4b 是 


整数 ， 站 和 了 是 椭圆 曲线 上 的 点 。 方 案由 4 步 组 成 ， 简 单 描述 如 下 : 








(1) 初始 化 
密 钥 服务 器 选取 一 条 椭圆 曲线 、 秘 密 整数 s、 椭 圆 曲 线 上 的 一 点 P， 公 开 P 了 和 sP 。 
(2) 加 密 


发 送 方 4 想 向 接收 方 B 发 送 消息 M， 首 先 将 B 的 身份 (如 bob@company.com) 经 
杂 凌 函数 映射 到 椭圆 曲线 上 的 一 个 点 ， 记 为 Ce ， 然 后 取 一 秘密 的 随机 数 >， 计 算 
大 =Pair(rOp,sP) ， 作 为 加 密 密 钥 。 最 后 将 加 密 结 果 E(M) 和 xrP 发 给 接收 方 B。 其 中 E 
是 一 单 钥 加 密 算法 。 

(3) 密 钥 产 生 

接收 方 B 收 到 E,(M) 和 xP 后 ， 向 密 钥 服务 器 提出 申请 ， 服 务 器 在 对 B 认证 后 ， 计 
SE SOp 并 发 送 给 B, B 以 SOp 作为 密 钥 。 

(4) 解密 

8B 收 到 密 钥 后 ,计算 和 =Pair(sQw,rP)， 使 用 kk 及 E 对 密 文 解密 。 由 于 映射 Pair 的 性 
质 ，B 计算 的 k 与 4 使 用 的 k 相 等。 其 他 人 不 知道 密 钥 s,s， 所 以 无 法 得 到 。 


5.5.2” 双 线性 映射 和 双 线 性 D-H 假设 
本 节 将 用 2 代表 在 mod q 加 法 下 的 群 {0, 1,…, gq-1}。 对 于 阶 为 素数 的 群 C, MG 
代表 集合 G-{O} ， 这 里 0 为 G 中 的 单位 元 素 。 用 Z* 代表 正 整 数 集 。 


1. 双 线 性 映射 

Bq 是 一 大 素数 ，G 和 G, 是 两 个 阶 为 q 的 群 , 其 上 的 运算 分 别称 为 加 法 和 乘法 。G, 
到 G, 的 双 线 性 映射 e:G xG, 一 G,， 满 足下 面 的 性 质 : 

D 双 线 性 。 如 果 对 任意 P,QO,ReG 和 a,beZ， 有 e(aP,b0O)=e(P,0)*”, 或 e(P+0， 
R)= e(P,R)，e(Q,R) 和 e(P,QO+R)=e(P,QO)，e(P,R)， 那 么 就 称 该 映射 为 双 线性 映射 。 

© 非 退化 性 。 映 射 不 把 GxG, 中 的 所 有 元 素 对 《〈 即 序 偶 ) 映射 到 G, 中 的 单位 元 。 

于 G,，G, 都 是 阶 为 素数 的 群 ， 这 意味 着 : WMR P G 的 生成 元 ， 那 么 e(P,P) 就 是 GG， 
的 生成 元 。 

@ 可 计算 性 。 对 任意 的 P,O eG,， 存 在 一 个 有 效 算法 计算 e(P,0)。 

Weil 配对 和 Tate 配对 是 满足 上 述 3 条 性 质 的 双 线 性 映射 。 


2. MOV 规约 

G 中 的 离散 对 数 问题 是 指 已 知 P,O eG, Ka|eZ,, 使 得 0=aP。 已 知 这 是 一 个 困 
难 问题 ,然而 如 果 记 g=e(P,P),h=e(O,P), WH e KRETA h= g, 因此, 可 以 将 
G 中 的 离散 对 数 问题 归结 为 G 中 的 离散 对 数 问题 ， 若 G, 中 的 离散 对 数 问题 可 解 ， 则 G, 
中 的 离散 对 数 问题 可 解 。MOYV 规约 (也 称 MOV 攻击 ) 是 指 将 攻击 G 中 的 离散 对 数 问 
题 转变 为 攻击 G, 中 的 离散 对 数 问题 。 所 以 要 使 G 中 的 离散 对 数 问题 为 困难 问题 ,那么 必 
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须 选择 适当 参数 使 G, 中 的 离散 对 数 问题 为 困难 问题 。 

3. DDH 问题 

G, 中 的 判定 性 Diffie-Hellman 问题 简称 DDH (Decision Diffie-Hellman) 问题 ， 是 指 
已 知 P,aP,bP,cP ， 判 定 c=abmodg 是 否 成 立 ， 其 中 是 Gi 中 的 随机 元 素 ，a,b,c HZ} 
中 的 随机 数 。 

双 线性 映射 的 性 质 可 知 : 

c=abmodgq © e(P,cP) = e(aP,bP) 
因此 可 将 判定 c= ab mod 是 否 成 立 转变 为 判定 e(P,cP) =e(aP,bP) 是 否 成 立 ， 所 以 
G, PHI DDH 问题 是 简单 的 。 

4. CDH 问题 

Gi 中 的 计算 性 Diffie-Hellman 问题 简称 CDH (Computational Diffie-Hellman) 问题 ， 
是 指 已 知已 aP,pP， 求 opP， 其 中 己 是 Gi 中 的 随机 元 素 ，o2 是 Z; 中 的 随机 数 。 

与 G 中 的 DDH 问题 不 同 ，G, 中 的 CDH 问题 不 因 引入 双 线 性 映射 而 解决 ， 因 此 它 
仍 是 困难 问题 。 

5. BDH 问题 和 BDH 假设 

HFG FH DDH 问题 简单 ， 那 么 就 不 能 用 它 来 构造 G, 中 的 密码 体制 。IBE 体制 的 
安全 性 是 基于 CDH 问题 的 一 种 变形 ， 称 为 双 线 性 DH 假设 。 

双 线 性 DH 问题 简称 为 BDH (Bilinear Diffie-Hellman ) 问题 ， 是 指 给 定 
(P,aP,bP,cP\(a,b,c €Z,) + 计算 w=e(P,P)* eG,，, IEP e 是 一 个 双 线 性 映射 ,P 是 G 的 
生成 元 ，G, ，G, 是 阶 为 素数 4 的 两 个 群 。 设 算法 A 用 来 解决 BDH 问题 ， 其 优势 定义 为 
tT, WR 























Pr | A(P,aP,bP,cP) = e(P,P)™ > t 
目前 还 没有 有 效 的 算法 解决 BDH 问题 ， 因 此 可 假设 BDH 问题 是 一 个 困难 问题 ， 这 就 是 
BDH 假设 。 
5.5.3 IBE 方案 


令 上 是 安全 参数 , g 是 BDH 参数 生成 算法 , 其 输出 包括 素数 9， 两 个 阶 为 4 的 群 G,， 
G, ， 一 个 双 线性 映射 eG x G > G, 的 描述 。k 用 来 确定 q 的 大 小 ， 例 如 可 以 取 9 为 
kb K. 

(1) 初始 化 。 

给 定安 全 参数 ke Z+ ， 算 法 运行 如 下 : 

@ 输入 后 运行 ep， 产生 素数 g， 两 个 阶 为 4 的 群 G,，G,， 一 个 双 线性 映射 e: 
GxG 一 G 。 选 择 一 个 随机 生成 元 PsG' 。 

@ 随机 选取 一 个 se Z;， 确 定 P =sP 。 

© 选取 一 杂凑 函数 也 :{0,1} >G o HEA n, 再 选 一 个 杂凑 函数 万 G, > {0,]}"- 
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安全 分 析 时 则 把 A, A, 视 为 随机 语言 *。 

消息 空间 为 M = {0,1})”， 密 文 空间 为 C= Gi x {0,17 。 系 统 参数 为 <q, Gi, Gr e, n, P, 
PssHi,H,>， 是 公开 的 。s 为 主 密 钥 ， 是 保密 的 。 

(2) 加 密 。 

用 接收 方 的 身份 ID 作为 公 钥 加 密 消息 M e M， 需 要 3 步 : 

© 计算 On =Hi(ID)eG;。 

@ 选择 一 个 随机 数 reZ; 。 

@ 确定 密 文 C=<rP,M © H, (gp) >> ŽE gp =e(Op,Pu)sG O ERREZ. 

(3) 密 钥 产生 。 

对 于 一 个 给 定 的 比特 串 ID € {0,1} ， 首 先 计算 Op = Hi,(ID)e G' ， 然 后 确定 秘密 钥 
dy =sQp> HF s 为 主 密 钥 。 


(4) 解密 。 
设 密 文 为 C=<U,V >eC, AWE dy 计算 Ve@ H,(e(dp,U0))=M 。 


e(dp,U)=e(sQp,P)” = Op Puy)” = Si 
杂凑 函数 有 一 个 性 质 “ 对 任 一 输入 ， 其 输出 的 概率 分 布 与 均匀 分 布 在 计算 上 是 不 可 
区 分 的 ”。 若 将 这 一 性 质 改 为 “对 任 一 输入 ， 其 输出 是 均匀 分 布 的 ”， 这 样 的 杂 凌 函数 是 
理想 的 。 若 把 杂凑 函数 看 做 这 样 一 个 假想 的 理想 函数 ， 就 称 其 为 随机 预言 (Random 
Oracle). 


5.5.4 IBE 方案 的 安全 性 


1. 语义 安全 的 基于 身份 的 加 密 

公 钥 密码 体制 的 语义 安全 的 标准 定义 如 下 : 

(1) 攻击 算法 已 知 一 个 由 系统 产生 的 随机 公 钥 。 

(2) 攻击 算法 输出 两 个 长 度 相同 的 消息 M,,M,， 再 从 系统 接收 M, 的 密 文 ， 其 中 随 
HUE b € {0,1} 。 

(3) 攻击 算法 输出 bp ， 如 果 b5=b' 则 成 功 。 如 果 没 有 多 项 式 时 间 的 攻击 算法 能 以 不 
可 忽略 的 优势 成 功 ， 那 么 该 密码 体制 就 是 语义 安全 的 。 

要 定义 基于 身份 的 密码 体制 的 语义 安全 ， 应 允许 攻击 算法 根据 自己 的 选择 进行 密 钥 
询问 ， 即 攻击 算法 可 根据 自己 的 选择 询问 公 钥 ID 对 应 的 密 钥 ,以 此 来 加 强 标准 定义 。 如 
果 不 存在 多 项 式 时 间 的 攻击 算法 4， 以 不 可 忽略 的 优势 在 下 面 的 攻击 中 获得 成 功 ， 那 么 
就 称 此 方案 是 语义 安全 的 。 

C1) 初始 化 : 系统 输入 安全 参数 k， 产 生 公开 的 系统 参数 Params 和 保密 的 主 密 钥 。 

(2) 阶段 1: 攻击 算法 发 出 对 1D,,…,1D, 的 密 钥 产生 询问 。 系 统 允 许 密 钥 产生 算法 ， 
产生 与 公 钥 ID, 对 应 的 密 钥 d，(i=1，…，m)， 并 把 它 发 送 给 攻击 算法 。 

询问 : 攻击 算法 输出 两 个 长 度 相 等 的 明文 M,,M, 和 一 个 意欲 询问 的 公开 钥 ID 。 唯一 
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的 限制 是 ID 不 在 阶段 1 中 的 任何 密 钥 询 问 中 出 现 。 系 统 随机 选取 一 个 比特 值 bs{0.1 ， 
计算 C = Encrypt(Params,ID,M,)» JPR C 发 送 给 攻击 算法 。 

G) 阶段 2: 攻击 算法 发 出 对 ID, + ID, 的 密 钥 产生 询问 ， 唯 一 的 限制 是 
ID, ID (i=mt+1，…，n)， 系 统 以 阶段 1 中 的 方式 进行 回应 。 

最 后 ， 攻 击 算法 输出 猜测 b'e {0,4}， 如 果 b5=b' 则 成 功 。 


攻击 算法 的 优势 可 定义 为 参数 的 函数 ，Adv, (和 )=|prts =- 


定义 5-5 ”如 果 对 任何 多 项 式 时间 的 攻击 算法 ,Adv, (k) 可 忽略 , 那么 就 称 这 个 IBE 
体制 是 语义 安全 的 。 

一 个 函数 g:R 一 R 是 可 以 忽略 的 ， 意 指 对 任意 4>0 和 一 个 充分 大 的 上 有 
|g(k)|<1/k4 。 

定理 5-1 设 杂凑 函数 有 ，H, 是 随机 预言 如果 在 g 产生 的 群 中 BDH 问题 是 困难 
的 ， 那 么 上 述 IBE 方案 是 语义 安全 的 基于 身份 的 加 密 方案 。 

证 明 过 程 略 。 


2. 选择 密 文安 全 

选择 密 文 安全 是 公 钥 加 密 方案 的 一 个 标准 安全 概念 ， 在 IBE 体制 中 这 个 要 求 需 再 加 
强 些 ， 因 为 在 IBE 体制 中 ， 攻 击 算法 攻击 公 钥 ID 〈 即 获取 与 之 对 应 的 密 钥 ) 时 ， 他 可 能 
已 有 所 选用 户 ID,,…,ID, 的 密 钥 ， 因 此 选择 密 文安 全 的 定义 就 应 允许 攻击 算法 获取 与 其 
所 选 身份 〈 但 不 是 ID) 相应 的 秘密 钥 ， 可 把 这 一 要 求 看 做 对 密 钥 产生 算法 的 询问 。 

一 个 IBE 加 密 方案 是 抗 自 适应 性 选择 密 文 攻击 语义 安全 的 ， 如 果 不 存在 多 项 式 时 间 
的 攻击 算法 ， 它 在 下 面 的 攻击 过 程 中 有 不 可 忽略 的 概率 。 

A) 初始 化 : 系统 输入 安全 参数 6， 产生 公开 的 系统 参数 Params 和 保密 的 主 密 钥 。 

(2) 阶段 1: 攻击 算法 执行 qoqar odno ZE % 是 下 面 的 询问 之 一 : 

e 对 <IDr> 的 密 钥 产生 询问 。 系 统 运 行 密 钥 产生 算法 ， 产 生 与 公 钥 ID; 对 应 的 密 钥 

d;， 并 把 它 发 送 给 攻击 算法 。 
o 对 < ID;,C;> 的 解密 询问 。 系 统 运行 密 钥 产生 算法 ， 产 生 与 ID; 对 应 的 秘密 钥 dis 
再 运行 解密 算法 ， 用 d, 解 密 C， 并 将 所 得 明文 发 送 给 攻击 算法 。 

上 面 的 询问 可 以 自 适 应 地 进行 , 是 指 执行 每 个 g, 时 可 以 依赖 于 执行 q,q,,…,gq; 时 得 
到 的 询问 结果 。 

攻击 算法 输出 两 个 长 度 相 等 的 明文 Mu,AM 和 一 个 要 被 询问 的 身份 人 D。 唯 一 的 限制 是 
ID 不 出 现在 阶段 1 中 的 任何 密 钥 询问 中 。 

系统 选取 一 个 随机 值 be {0,1} ， 产 生 C = Encrypt(Params,ID, M,)， 并 将 C 作为 应 答 
发 送 给 攻击 算法 。 

G) 阶段 2: 攻击 算法 产生 更 多 询问 gq,,,,…,q,,4; 是 下 面 的 询问 之 一 : 

e 对 <ID,> 的 密 钥 产生 询问 。 系 统 以 阶段 1 中 的 方式 进行 回应 。 

e 对 <ID,,C,> 的 解密 询问 。 系 统 以 阶段 1 中 的 方式 进行 回应 。 

最 后 ， 攻 击 算法 输出 对 b 的 猜测 b'e {0,1}, WR b= b WRH o 
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以 上 攻击 过 程 也 称 为 “午餐 时 间 攻 击 ” 或 “午夜 攻击 ” 相当 于 有 一 个 执行 解密 运算 
的 黑 盒 ， 掌 握 黑 盒 的 人 在 午餐 时 间 离 开 后 ， 攻 击 者 能 使 用 黑 盒 对 自己 选择 的 密 文 解密 。 
午餐 过 后 ， 给 攻击 者 一 个 目标 密 文 ， 攻 击 者 试图 对 目标 密 文 解密 ， 但 不 能 再 使 用 黑 盒 了 。 


定义 
二 | 
pqs = 

为 攻击 算法 的 优势 。 

定义 5-6 如果 对 任何 多 项 式 时 间 的 攻击 算法 ， 函 数 Adv。,(6) 可 忽略 ， 那 么 就 称 该 
IBE 体制 是 抗 自 适应 性 选择 密 文 攻击 语义 安全 的 。 

为 使 上 述 方案 成 为 在 随机 预言 模型 中 是 选择 密 文安 全 的 ， 还 需 对 其 加 以 修改 。 以 
Ey (Mr) 表示 用 随机 比特 > 在 公 钥 pk 下 加 密 M 的 公 钥 加 密 算法 ,Fujisaki-Okamoto 指出 ， 
如 果 ep 是 单 向 加 密 的 , Ml eh =< sg.(o,H(o,M)),Hs(o)@M > 在 随机 预言 模型 下 是 选择 
密 文安 全 的 ， 其 中 o BADLY EMEC, Hy, H, EAR RR. 

单 向 加 密 粗略 地 讲 就 是 对 一 个 给 定 的 随机 密 文 ， 攻 击 算法 无 法 产生 明文 。 单 向 加 密 
是 一 个 弱 安 全 概念 ， 这 是 因为 它 没 有 阻止 攻击 算法 获得 明文 的 部 分 比特 值 。 

修改 后 的 加 密 方案 如 下 : 

(1) 初始 化 。 

和 基本 方案 相同 ， 此 外 还 需 选 取 两 个 杂凑 函数 H, : {0,1} x {0,17 > Z; 和 
H, :{0,17 > 0,0", HEF n 是 待 加 密 消 息 的 长 度 。 

(2) 加 密 。 

用 公 钥 ID 加 密 M e {0,1}" : 

O 计算 On =Hi(ID)eG;。 

@ 选 一 个 随机 串 o e (0,1}” © 

© 计算 r=H,(o,M)。 

图 确定 密 文 =<rP,o ® Hy (gin), M @H,(o)> >» XE gp = (Ops Puy) € Gy 0 

(3) 密 钥 产生 。 

和 基本 方案 相同 。 

(4) 解密 。 

令 C=<U,V,W > 是 用 了 ID 加 密 所 得 的 密 文 。 如 果 UgG ， 拒 绝 这 个 密 文 。 和 否则 ， 用 
WEA dy eG 对 C 如 下 解密 : 

© HHV @H,(e(dy,U)) =o o 

@ HW OH,(c)=M. 

© 确定 +=H,(o,M)， 检 验 U=rP 是 否 成 立 ， 不 成 立 则 拒绝 密 文 。 

© 把 M 作 为 C 的 明文 。 

定理 $-2” 设 杂凑 函数 有 Hi,H,,H;,H, 是 随机 预言 , 假设 在 由 g 生成 的 群 中 BDH 问题 
是 困难 的 ， 那 么 上 述 修改 后 的 IBE 是 选择 密 文安 全 的 。 





Adv, ,(k) = 
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66 中 国 商用 密码 SM2 算法 


2010 年 12 月 17 日 ， 














国家 密码 管理 局 颁布 了 





BSE 双 ( 公 ) 角 密 码 体制 


ph 国 商用 公 钥 密码 标准 算法 SM2。 它 是 
一 组 基于 椭圆 曲线 的 公 钥 密码 算法 。 本 节 介绍 SM 公 钥 加 解密 算法 。SM2 数字 签名 算 
法 将 在 第 7 章 介绍 。 国 家 密码 管理 局 公告 (第 21 号 ) 详细 描述 了 SM2 系列 算法 。 读 者 
可 从 Web 地 址 http:/www.oscca.gov.cn/News/201012/News_1197.htm 得 到 算法 详细 描述 。 


5.6.1 SM2 椭圆 曲线 推荐 参数 


SM2 椭圆 曲线 系统 参数 如 下 : 
© 有 限 域 i 的 规模 q( 当 gq=2” 时 ， 还 包括 元 素 表示 法 的 标识 和 约 化 多 项 式 )。 
© 定义 椭圆 曲线 E(Fy) 方 程 的 两 个 元 素 a,b SF, 
© 椭圆 曲线 E(Fy) 上 的 基点 G=(xo,yo) (G40), HP xo, yo 是 五 的 两 个 元 素 。 
© G 的 阶 n 以 及 其 他 可 选项 ， 如 n REAT h 等。 
SM2 椭圆 曲线 公 钥 密码 算法 推荐 使 用 256 位 素数 域 GF(p) 上 的 椭圆 曲线 ， 椭 圆 曲 线 








方程 描述 为 
y =xŻ +ax+b (5-28) 
SM2 椭圆 曲线 推荐 参数 用 十 六 进 制 表 述 为 
p= FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 
FFFFFFFF 00000000 FFFFFFFF FFFFFFFF 
a= FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 
FFFFFFFF 00000000 FFFFFFFF FFFFFFFC 
b= 28E9FA9E 9D9FSE34 4DSA9E4B CF6509A7 
F39789F5 ISAB9F92 DDBCBD41 4D940E93 
n= FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 
7203DF6B 21C6052B 53BBF409 39D54123 
此 椭圆 曲线 建议 基点 G 为 
Wg= 32C4AE2C 1F198119 5F990446 6A39C994 
8FE30BBF F2660BE1 715A4589 334C74C7 
yG= BC3736A2 F4F6779C S9BDCEE3 6B692153 
BOA9877C C62A4740 02DF32E5 2139F0A0 
5.6.2 ”辅助 函数 


SM2 椭圆 曲线 公 钥 加 解密 算法 涉及 3 类 辅助 函数 : 杂凑 函数 、 密 钥 派生 函数 和 随机 
数 发 生 器 。 这 3 类 辅助 函数 的 安全 性 强 弱 直接 影响 加 密 算法 的 安全 性 。 

















因此 ， 实 际 使 有 
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SM2 椭圆 曲线 公 钥 加 解密 算法 时 应 使 用 标准 中 指定 的 辅助 函数 。 


1. 杂凑 函数 

杂凑 函数 的 作用 是 将 任意 长 的 数字 串 M 映射 成 一 个 较 短 的 定 长 输出 数字 串 的 函数 ， 
一 般 用 五 表示 。 杂 凑 算 法 的 详细 内 容 将 在 第 6 章 介 绍 。 在 SM2 椭圆 曲线 公 钥 加 解密 算 
法 中 ， 应 使 用 国家 密码 管理 局 批准 的 杂凑 算法 ， 如 SM3 杂凑 算法 。 


2. 密 钥 派生 函数 

密 钥 派生 函数 的 作用 是 从 一 个 共享 的 秘密 比特 串 中 派生 出 密 钥 数据 。 本 质 上 ， 密 钥 
派生 函数 是 一 个 伪 随 机 数 产生 函数 ， 用 来 产生 所 需 的 会 话 密 钥 或 进一步 加 密 所 需 的 密 钥 
数据 。SM2 椭圆 曲线 公 钥 加 解密 算法 中 详细 规定 了 基于 杂凑 函数 的 密 钥 派生 函数 。 因 此， 

密 钥 派 生 函 数 所 调用 的 杂凑 函数 用 及, 来 描述 ,其 输出 是 长 度 恰好 为 vy 比 特 的 杂凑 值 。 
密 钥 派生 函数 用 KK- 一 KDF(Z, klen) 来 描述 ， 其 中 Z 是 输入 的 比特 串 ，klen 是 要 获得 密 钥 数 
据 的 比特 长 度 ， 要 求 klen h F(2-1)v. KDF 输出 长 度 为 klen 的 密 钥 数 据 比特 串 KK。 密 
钥 派 生 函 数 的 具体 算法 流程 描述 如 下 : 

@ 初始 化 一 个 32 比特 构成 的 计数 器 ct=0x00000001。 

@ 对 i 从 1 到 [klen/v]: 计算 Ha,=H,(Zllet)， 并 令 ct 加 1。 

© # klen/v 非 整数 ， 令 Hauer) Æ Haran EWH (klen -(vx[klen/v])) 比特 。 
否则 ， 令 AA tens) + Ha ens) ° 

@@ EAA E K = Ha || Ha, ||- l| Hauen ll Hauaa e 


3. 随机 数 发 生 器 

随机 数 发 生 器 的 作用 是 从 指定 的 集合 范围 内 产生 随机 数 。 随 机 数 发 生 器 必须 满足 随 
机 性 和 不 可 预测 性 。 在 SM2 椭圆 曲线 公 钥 加 解密 算法 中 , 应 使 用 国家 密码 管理 局 批准 的 
随机 数 发 生 器 。 


5.6.3 EHER 
私 钥 : 用 户 的 私 钥 为 一 个 随机 数 d e{1,2,…,n I} o 
公 钥 ， 用 户 的 公 铀 为 椭圆 曲线 上 的 点 P=dG。 


5.6.4 mes 


设 需要 发 送 的 消息 为 比特 串 M, klen 为 M 的 比特 长 度 。 为 了 对 明文 MM 进行 加 密 ， 
作为 加 密 者 的 用 户 4 获得 用 户 8 的 公 铀 户 后 ， 应 执行 如 下 运算 步骤， 

O 用 随机 数 发 生 器 产生 随机 数 ke{1,2,…,n 1} « 

© 计算 椭圆 曲线 上 的 点 Ci =KG = (ery) JEFE Ci 的 数据 类 型 转换 为 比特 串 。 

© 计算 椭圆 由 线 上 的 点 5=hPs， 车 5 是 无 穷 远 点 ， 则 报错 并 退出 。 

© 计算 椭圆 曙 线 上 的 点 Ps = (ww,y2)， 并 将 华 标 二、y 的 数据 类 型 转换 为 比特 串 。 
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计算 t=KDF(xo|ly2, klen)， 若 上 为 全 0 比特 串 ， 则 返回 @。 

计算 Q=M@t. 

计算 C3=Hash(x||M|| y2)。 

输出 密 文 C= CillCzllC3。 

注意 : 第 @ 步 所 使 用 的 杂凑 函数 Hash 也 应 使 用 中 国 商用 密码 标准 中 的 杂凑 函数 。 
图 5-3 为 SM2 椭圆 曲线 公 钥 加 密 算法 的 流程 图 。 


900 





























用 户 4 的 原始 数据 
( 怖 圆 曲 线 系统 参数 、 长 度 为 klen 比 特 的 消息 M、 公 钥 Pp) 




















-一 一 一 | 产生 随机 数 ke{1,2,… ,上 








1 
计算 椭圆 曲线 上 的 点 C=kG=(x,y) 


i 
计算 椭圆 曲线 上 的 点 S=hPp 
































5 是 否 为 全 0 








TY BEAP =, 92) 


1 
计算 二 KDF(x,|| 2,klen) 


























计算 C=M@1 





1 


计算 C3=Hash(x,||Ml|y, ) 





























输出 密 文 C=Cil| CIC, 报错 并 退出 
图 5-3 SM2 加 密 算法 流程 图 








5.6.5 ”解密 


设 需要 解密 的 密 文 为 C= ClllCzllC3，klen 为 密 文 中 Cs 的 比特 长 度 。 为 了 对 密 文 C 进 
行 解密 ， 作 为 解密 者 的 用 户 B 应 用 其 私 钥 dg 执行 如 下 运算 步 又 : 

Q 从 C 取出 比特 串 C1， 将 Ci 的 数据 类 型 转换 为 椭圆 曲线 上 的 点 ， 验 证 C1 是 否 满 
足 椭圆 曲线 方程 。 若 不 满足 ， 则 报错 并 退出 。 

@ 计算 椭圆 曲线 上 的 点 $=h Ct， 车 5S 是 无 穷 远 点 ， 则 报错 并 退出 。 

@ 计算 de Ci=(x2,y2)， 并 将 坐标 x2、yy 的 数据 类 型 转换 为 比特 串 。 
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@ 计算 1=KDF(x|| 32, klen)， 若 1 为 全 0 比特 串 ， 则 返回 @。 

© 从 C 取出 比特 串 C HH M'= CG@ t 

© 计算 u= Hash(xzIM'|y)， 从 C 取 出 比特 串 CG FuG, WARJE H 

@ 输出 明文 M'。 

注意 : 第 @ 步 所 使 用 的 杂凑 函数 Hash 应 与 加 密 函 数 第 四 步 所 使 用 的 杂凑 函数 一 致 。 
图 5-4 为 SM2 椭圆 曲线 公 钥 解密 算法 的 流程 图 。 


用 户 B8 的 原始 数据 
(椭圆 曲线 系统 参数 、 密 文 Cl| Cl|c 、 私 钥 do) 


















































从 密 文中 取出 Ci 
























































计算 dgCi=(x2,y2) 














1 
it BU-KDF(x || y2,klen) 














计算 M' =C,@1 














1 
it iu=Hash(x, || M1’ || y2) 


<p> 
u=C,? 
是 

1 i] 


输出 密 文 C=clll Cl| Cs 报错 并 退出 
图 5-4 SM2 解密 算法 流程 图 
我 们 很 容易 证 明 加 解密 的 正确 性 。 由 加 密 算 法 可 知 : 
C, =kG =(x,,,) (5-29) 
公私 钥 关 系 、 加 密 算 法 的 第 @@ 步 、 解 密 算法 的 第 @ 步 可 知 : 
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dC, = dgkG = kP; =(%,») (5-30) 

因此 ， 解 密 算法 第 @ 步 可 得 到 正确 的 会 话 密 钥 1+， 经 第 @ 步 得 到 正确 的 明文 M'=M。 

5.6.6 ”实例 与 应 用 

为 了 开发 人 员 在 工程 实现 时 调试 方便 , 中 国 国家 密码 管理 局 在 颁布 SM2 公 钥 加 解密 
算法 时 , 分 别 给 出 了 SM2 公 钥 加 解密 算法 在 Fy-256 上 椭圆 曲线 和 在 瑟 , -257 上 椭圆 曲线 
的 消息 加 解密 实例 ， 以 及 加 密 解 密 各 步骤 中 的 有 关 值 。 感 兴趣 的 读者 可 从 Web 地 址 
http://www.oscca.gov.cn/News/201012/News_1197.htm 获取 相关 实例 信息 。 

SM2 公 钥 加 解密 算法 也 属于 ElGamal 型 椭圆 曲线 密码 。 但 SM2 公 钥 加 解密 算法 加 
入 了 很 多 检 错 措施 ， 提 高 了 密码 系统 的 数据 完整 性 和 可 靠 性 。 例 如 ， 解 密 算法 第 @D 步 ， 
通过 验证 Ci 是否 满足 椭圆 曲线 方程 来 验证 Ci 的 有 效 性 ; 解密 算法 第 @ 步 ， 通 过 验证 子 
和 群 元 素 的 阶 进一步 检查 Ci 的 有 效 性 ; 解密 算法 第 @ 步 ， 应 用 所 解密 的 明文 M' 以 及 坐标 
fil, iA Cs 的 正确 性 ， 而 所 解密 明文 M' 的 正确 性 包含 CG 与 1 的 正确 性 。 因 此 ， 经 
过 解密 步骤 中 、@、@@， 密 文 C= Clll 的 正确 性 与 有 效 性 均 得 到 验证 。 

SM2 公 钥 密码 学 算法 已 在 中 国 得 到 了 广泛 应 用 。 在 中 华人 民 共 和 国 居民 身份 证 的 芯 
片 中 就 用 硬件 实现 了 SM 公 钥 加 解密 算法 ， 用 来 保护 重要 的 个 人 信息 。 截 至 2013 年 8 
月 31 日 ， 共 有 352 项 通用 产品 支持 SM 公 钥 加 解密 算法 ; 截至 2016 年 2 月 29 日， 共 
有 564 项 商用 密码 产品 支持 SM2 公 钥 加 解密 算法 。 感 兴趣 的 读者 可 从 Web 网 址 
http://www.oscca.gov.cn/News/201109/News_1212.htm 获取 支持 SM2 公 钥 加 解密 算法 的 通 
用 产品 名 单 ; 从 Web 网 址 http://www.oscca.gov.cn/News/201603/News_1319.htm 获取 支持 
SM2 公 钥 加 解密 算法 的 商用 密码 产品 目录 。 


57 _ 公 和 钥 密 码 体制 的 安全 性 分 析 














通常 说 “密码 体制 对 于 攻击 了 是 安全 的 ， 但 是 对 于 攻击 Z 是 不 安全 的 ”是 有 道理 
的 ， 即 密码 体制 的 安全 性 是 根据 攻击 来 定义 的 。 主 动 攻击 通常 有 3 种 方式 ， 这 些 主动 攻 
击 的 方式 将 用 于 对 本 章 其 余部 分 所 介绍 的 密码 体制 的 分 析 ， 它 们 的 定义 如 下 。 

C1) 选择 明文 攻击 (CPA )。 攻 击 者 选择 明文 消息 并 得 到 加 密 服 务 , 产生 相应 的 密 文 。 
攻击 者 的 任务 是 用 所 得 到 的 明 / 密 文 对 来 降低 目标 密码 体制 的 安全 性 。 

(2) 选择 密 文 攻击 CCCA). 攻击 者 选择 密 文 消息 并 得 到 解密 服务 , 产生 相应 的 明文 。 
攻击 者 的 任务 是 用 所 得 到 的 明 / 密 文 对 来 降低 目标 密码 体制 的 安全 性 。 在 解密 服务 停止 
后 ， 即 在 得 到 目标 密 文 之 后 ， 解 密 服 务 立即 停止 。 如 果 攻 击 者 能 够 从 “目标 密 文 ”中 得 
到 保密 明文 的 信息 ， 则 就 说 攻击 是 成 功 的 。 

(3) 适应 性 选择 密 文 攻击 CCA2)。 这 是 一 个 CCA， 而且 除了 对 “目标 密 文 ” 解 密 
外 ， 永 远 能 够 得 到 解密 服务 。 

可 以 用 以 下 情形 来 想象 上 述 攻 击 类 型 : 





155 


me 网络 安全 一 一 技术 与 实践 (第 3 版 ) mm 


(1) 在 CPA 中 ， 攻 击 者 有 一 个 加 密 盒 子 。 

(2) Æ CCA P, 攻击 者 可 以 有 条 件 地 使 用 解密 盒子 : 在 交 给 攻击 者 目标 密 文 之 前 关 
闭 解密 盒子 。 

G) 在 CCA2 中 ， 在 攻击 者 得 到 目标 密 文 之 前 或 之 后 ， 只 要 攻击 者 不 把 目标 密 文 输 
入 解密 盒子 (这 个 唯一 的 限制 是 合理 的 , 否则 攻击 者 就 没有 任何 需要 解决 的 困难 问题 了 )， 
他 就 可 以 一 直 使 用 这 个 解密 盒子 。 

在 所 有 的 情况 下 ， 攻 击 者 都 不 应 该 拥有 相应 的 密 钥 。 

CPA 和 CCA 原来 是 作为 攻击 对 称 密码 系统 所 提出 的 主动 密码 分 析 模 型 ， 在 对 称 密 
码 系统 中 ， 攻 击 者 的 目标 就 是 用 他 从 攻击 中 得 到 的 明 / 密 文 对 减弱 目标 加 密 系统 的 安全 
性 。 它 们 已 经 用 于 规范 对 公 钥 系统 的 主动 攻击 。 这 里 指出 以 下 有 关公 钥 密 码 系统 的 3 个 
细节 : 

(1) 在 公 钥 系统 下 ， 由 于 给 定 了 公 钥 ， 任 何人 都 可 以 完全 控制 加 密 算法 ， 这 样 任何 
人 总 是 可 以 得 到 公 钥 系统 的 加 密 服务 。 换 句 话说 , CPA 永远 可 以 用 来 攻击 公 钥 密码 系统 。 
于 是 ， 如 果 对 公 钥 密码 系统 的 一 个 攻击 没有 用 到 任何 解密 服务 ， 就 可 以 称 这 个 攻击 为 
CPA。 因 此 ， 显 然 任何 一 个 公 钥 密码 系统 必须 抵抗 CPA， 否 则 它 就 不 是 一 个 有 用 的 密码 
系统 。 

(2) 一 般 地 ， 大 多 数 公 钥 密 码 体制 基于 的 数学 问题 都 有 一 些 很 好 的 代数 结构 性 质 ， 
如 闭 包 、 结 合 律 和 同 态 等 。 一 个 攻击 者 可 以 运用 这 些 很 好 的 性 质 ， 并 通过 巧妙 的 计算 组 
成 一 条 密 文 。 如 果 攻 击 者 能 得 到 解密 服务 ， 则 他 的 巧妙 的 计算 可 能 使 他 得 到 一 些 明 文 信 
息 ， 或 者 甚至 是 目标 加 密 系统 的 私 钥 ， 否 则 要 得 到 私 钥 对 他 来 说 在 计算 上 是 不 可 行 的 。 
所 以 ， 公 钥 系 统 特别 容易 受到 CCA 和 CCA2 的 攻击 。 

(3) 看 起 来 CCA 限制 太 大 了 。 在 应 用 中 , 处 于 攻击 下 的 用 户 (被 要 求 提供 解密 服务 》 
实际 上 未 必 知 道 攻击 的 存在 。 所 以 用 户 就 不 知道 何 时 应 该 停止 提供 解密 服务 。 一 般 假设 
普通 用 户 不 知道 攻击 者 的 存在 ， 所 以 攻击 者 一 直 能 够 得 到 解密 服务 。 男 一 方面 ， 由 于 攻 
击 者 总 能 够 自己 来 执行 选择 明文 的 加 密 “ 服 务 ”， 所 以 任何 公 钥 系统 都 必须 抵抗 CPA. 
于 这 个 原因 ， 主 要 考虑 抵抗 CCA2 的 方法 。 

最 近 , 人 们 对 抗 选择 密 文 攻击 的 双 钥 密 码 有 不 少 研究 .Goldwasser 等 学 者 [Goldwasser 
等 1988] 最 先 指出 并 非 所 有 双 钥 体制 的 解密 问题 都 像 从 公 钥 恢 复 密 钥 一 样 困 难 ， 因 此 必 
须 注意 双 钥 体制 经 受 选 择 密 文 攻击 的 能 力 。Naor 和 Yung[Naor 等 1990] 首 次 建议 了 一 种 
抗 冷漠 选择 密 文 攻击 在 语义 上 安全 的 具体 公 钥 加 密 方案 。 此 方案 采用 了 两 个 独立 的 概率 
公 钥 加 密 方案 对 明文 加 密 ， 以 后 以 非 交 互 零 知识 证 明 方式 送出 。 其 中 同一 个 消息 采用 两 
个 密 钥 加 密 。Rackoff 和 Simon[Rackoff 等 1991] 首 次 提出 一 种 抗 自 适应 选择 密 文 攻击 在 
语义 上 安全 的 公 钥 加 密 方案 。 但 这 类 方案 都 由 于 消息 扩展 太 大 而 不 实用 。 

Damgard 也 曾 提出 一 种 可 以 抗 冷 漠 选 择 密 文 攻击 的 有 效 构造 公 钥 体制 的 方法 , Zheng 
和 Seberry[Zheng 等 1993] 指 出 ， 该 体制 不 能 抗 自 适应 选择 明文 攻击 ， 并 提出 3 种 方法 对 
抗 此 类 攻击 。 但 这 些 方案 都 未 能 证 明 可 以 达到 所 宣称 的 安全 水 平 。 后 来 Bellare 和 
Gogaway[Bellare 等 1993] 证 明 Zheng 等 提出 的 方案 中 的 随机 预言 模型 式 (Random Oracle 
Model) 在 自 适应 选择 密 文 攻击 下 是 可 证 明 安全 的 。Lim 和 Lee [Lim 等 1993] 曾 提出 可 
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BSE 双 ( 公 ) 钥 密 码 体制 
以 抗 选择 密 文 攻击 的 公 钥 方案 ， 但 被 Frankel 和 Yung[Frankel 等 1995] 攻 破 。 
习 wm 

一 、 填 空 题 

1. 在 双 钥 密码 体制 中 ， 若 以 作为 加 密 密 钥 ， 以 作为 解密 密 铀 ， 则 
可 实现 多 个 用 户 加 密 的 消息 只 能 由 一 个 用 户 解读 ， 车 以 作为 加 密 密 钥 ， 
以 为 解密 密 钥 ， 则 可 实现 一 个 用 户 加 密 的 消息 能 由 多 个 用 户 解读 。 

2. 对 于 双 钥 密码 体制 来 说 ， 其 安全 性 主要 取决 于 ， 要 求 加 密 函 数 具 
有 

3. DL 问题 是 指 已 知 y, g, po K 的 问题 ，DHP 问题 是 指 已 知 w Ma, R 

的 问题 ，FAC 问题 是 指 已 知 n=p*，g， 求 和 的 问题 。 
4. 双 钥 密码 体制 需要 基于 单 向 函数 来 构造 ， 目 前 多 数 双 钥 体制 是 基于 ` 
` All 等 问题 构造 的 。 

5. RSA 密码 体制 易于 实现 ， 既 可 用 于 又 可 用 于 ， 是 被 广泛 应 用 的 
一 种 公 钥 体制 。 

6. 针对 RSA 密码 体制 的 选择 密 文 攻击 ， 包 括 和 等 
方式 。 

7. ElGamal 密码 体制 是 一 种 基于 的 双 钥 密码 体制 ， 其 加 密 密 文 是 由 明文 和 
所 选 随机 数 k 来 确定 ， 因 而 属于 加 密 。 

8. 椭圆 曲线 密码 体制 利用 有 限 域 上 的 所 构成 的 群 上 定义 的 构造 
双 钥 密码 体制 。 

9. 基于 身份 的 密码 体制 ， 使 用 双 椭 圆 曲 线 上 的 ， 将 用 户 的 身份 映射 为 

10. 中 国 商 用 公 钥 密码 标准 算法 SM2 算法 是 一 组 基于 的 公 钥 密码 算法 。 
SM2 公 钥 加 解密 算法 中 包含 3 类 辅助 函数 ， 分 别 为 $ 和 

二 、 思 考题 


1. 什么 是 单 向 函数 ? 什么 是 陷 门 单 向 函数 ? 

2. 双 钥 体制 的 安全 性 均 依 赖 于 构造 双 钥 算法 所 依赖 的 数学 难题 。 那 么 RSA 算法 是 
基于 一 种 什么 数学 难题 构造 的 ? 

3. 离散 对 数 问题 与 计算 Diffie-Hellman 问题 有 什么 关系 ? 

4. 在 RSA 公 钥 数据 Ce N) 中 ， 为 什么 加 密 指 数 e 必须 与 op (N) 互 素 ? 

5. 通常 情况 下 分 解 奇 合 数 是 困难 问题 。 那 么 分 解 素数 的 寡 也 是 困难 问题 吗 ? (一 个 
BRR Nep, IEP p 是 素数 ，i 是 整数 。 分 解 N。) GER: 对 任意 i >1, 计算 N 的 i 
次 根 需 要 尝试 多 少 个 指数 值 i? ) 

6. RSA 加 密 函 数 可 以 看 做 RSA 模 数 乘 群 上 的 一 个 置换 , 所 以 RSA 函数 也 称 为 单 向 
陷 门 置换 。ElGamal 加 密 函 数 是 单 向 陷 门 置换 吗 ? 
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7. 在 什么 情况 下 可 以 把 ElGamal 密码 体制 看 做 是 确定 的 算法 ? 

8. 与 RSA 相 比 ，ECC 的 主要 优点 是 什么 ? 试 将 两 者 进行 比较 。 

9. SM2 公 钥 加 解密 算法 与 椭圆 曲线 ElGamal 公 钥 加 解密 算法 相 比 ， 有 什么 相似 之 
处 ? 有 什么 不 同 之 处 ? SM2 公 钥 加 解密 算法 增加 了 何 种 功能 ? 试 将 两 者 进行 比较 。 

10. 什么 是 CPA，CCA 和 CCA2? 为 什么 所 有 公 钥 加 密 算法 都 必须 抵抗 CPA? 


fl. 

















于 主动 攻击 通常 要 修改 网 络 上 传输 的 〈 密 文 ) 消息 ， 那 么 如 果 公 钥 加 密 算法 





用 了 数据 完整 性 检测 技术 来 检测 对 密 文 消息 的 非 授权 修改 ， 主 动 攻击 仍然 会 有 效 吗 ? 


158 








第 6 章 | 
消息 认证 与 杂 竣 函数 


本 章 首先 介绍 认证 和 认证 系统 的 基本 概念 ， 认 证 码 的 基本 理论 [Meyer 等 1982]; 然 
后 介绍 认证 算法 的 基本 组 成 部 分 一 一 杂凑 (Hash) 函数 ; 最 后 介绍 几 种 实用 的 杂凑 算法 ， 
如 MD 系列 杂凑 算法 、 SHA 系列 杂凑 算法 和 中 国 商 密 标准 SM3 杂凑 算法 。 


6.1 认证 函数 








本 节 讨 论 可 以 用 来 产生 认证 符 的 函数 类 型 ， 这 些 函 数 可 以 分 为 如 下 3 类 。 

e 消息 加 密 : 它 采 用 整个 消息 的 密 文 作为 认证 符 。 

o 消息 认证 码 (MAC): 它 是 消息 和 密 钥 的 公开 函数 ， 它 产生 定 长 的 值 ， 以 该 值 作 
为 认证 符 。 

e 杂凑 函数 : 它 将 任意 长 的 消息 映射 为 定 长 的 杂凑 值 的 公开 函数 ， 以 该 杂凑 值 作为 
认证 符 。 


6.1.1 消息 加 密 


消息 加 密 本 身 提供 了 一 种 认证 手段 。 对 称 密码 和 公 钥 密码 两 种 体制 对 消息 加 密 的 分 
析 是 不 相同 的 。 

1. 对 称 加 密 

考虑 一 个 使 用 传统 加 密 的 简单 例子 ， 如 图 6-1 所 示 。 发 送 方 4 用 4 和 B 共享 的 密 钥 
对 发 送 到 接收 方 B 的 消息 M 加 密 。 如 果 没 有 其 他 方 知道 该 密 钥 ， 那 么 可 提供 保密 性 ， 
因为 任何 其 他 方 均 不 能 恢复 出 消息 明文 。 

B 可 确信 该 消息 是 由 4 产生 的 。 因 为 除 B 外 只 有 4 拥有 KK，4 能 产生 可 用 天 解密 的 
密 文 ， 所 以 该 消息 一 定 来 自 4。 由 于 攻击 者 不 知道 密 铀 ， 他 也 就 不 知道 如 何 改变 密 文中 
的 信息 位 ， 才 能 在 明文 中 产生 预期 的 改变 。 因 此 ， 若 B 可 以 恢复 出 明文 ， 则 B 可 以 认为 
M 中 的 每 位 都 未 被 改变 。 
因此 ， 对 称 密码 既 可 提供 认证 又 可 提供 保密 性 ， 但 这 不 是 绝对 的 。 考 虑 在 B 方 所 发 
生 的 事件 , 给 定 解密 函数 D 和 密 钥 K, 接收 方 可 接收 任何 输入 X, 并 产生 输出 Y= D(X) o 
车 对 是 用 相应 的 加 密 函 数 对 合法 消息 M 加 密生 成 的 密 文 ， 则 了 就 是 明文 消息 M; 否则 了 

可 能 是 无 意义 的 位 串 。 因 此 在 B 端 需要 有 某 种 方法 能 确定 了 是 合法 的 明文 以 及 消息 确实 
发 自 4。 
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el Bett 
EM o } Ful) kk, 
(a) 对 称 密码 : 保密 性 与 认证 n 公 钥 密码 : 保密 
M M 
KR, Exe M) KU, 


(c) 公 钥 密码 : 认证 和 签名 


E, F Eķu,(E; L E, J ) 
KR, KU, KU KR。 KR," KU, 


(d) 公 钥 密 码 : 保密 、 Wm 
图 6-1 消息 加 密 的 基本 用 途 

从 认证 的 角度 来 看 , 上 述 推理 存在 这 样 一 个 问题 。 如 果 消 息 M 可 以 是 任意 的 位 模式 ， 
那么 接收 方 无 法 确定 接收 到 的 消息 是 合法 明文 的 密 文 。 若 M 可 以 是 任意 的 位 模式 ， 那 么 
不 管 艺 的 值 是 什么 ， 了 = Dy (X) 都 会 作为 真实 的 密 文 被 接收 。 

一 般 来 讲 ， 要 求 合 法 明文 只 是 所 有 可 能 位 模式 的 一 个 小 子 集 。 这 样 ， 由 任何 伪造 的 
密 文 都 不 太 可 能 得 出 合法 的 明文 。 例 如 ， 假 定 10 种 位 模式 中 只 有 一 种 是 合法 明文 的 位 
模式 ， 那 么 随机 选择 一 个 位 模式 作为 密 文 ， 它 产生 合法 明文 消息 的 概率 只 有 10” 。 

许多 应 用 和 加 密 方法 都 满足 上 述 条 件 。. 例 如 ,假定 利用 具有 一 次 移动 (K = 1) 的 Caesar 
密码 来 传递 英文 消息 ，4 发 送 下 列 合 法 的 消息 : 

nbsftfbupbutboeepftfbupbutboemjuumfmbnctfbujwz 

B 解密 并 产生 下 列 明文 : 


mareseatoatsanddoeseatoatsandlittlelambseativy 

通过 简单 的 频率 分 析 可 以 发 现 这 个 消息 具有 普通 英语 的 特点 。 若 攻击 者 产生 下 列 随 
机 的 字符 序列 : 

zuvrsoevgqxlzwigamdvnmhpmccxiuureosfbcebtqxsxq 
则 它 被 解密 为 : 

ytuqrndufpwkyvhfzlcumlgolbbwhttqdnreabdaspwrwp 
这 个 序列 不 具有 普通 英语 的 特点 。 

对 接收 到 的 密 文 解密 ， 再 对 所 得 明文 的 合法 性 进行 判别 ， 这 不 是 一 件 容易 的 事 。 例 
如 , 若 明 文 是 二 进 制 文件 或 数字 化 的 X 射线 , 那么 很 难 确定 解密 后 的 消息 是 真实 的 明文 。 
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此 攻击 者 可 以 简单 地 发 布 任何 消息 并 伪 称 是 发 自 合法 用 户 的 消息 ， 从 而 造成 某 种 程度 的 
破坏 。 

解决 这 个 问题 的 方法 之 一 : 要 求 明文 具有 某 种 易于 识别 的 结构 ， 并 且 不 通过 加 密 函 
数 是 不 能 重复 这 种 结构 的 。 例 如 ， 可 以 考虑 在 加 密 前 对 每 个 消息 附加 一 个 错误 检测 码 ， 
也 称 为 帧 校 验 序 列 CFCS) 或 校 验 和 ， 如 图 6-2 (a) 所 示 。4 准备 发 送 明文 消息 M， 那 
么 4 将 M 作 为 函数 下 的 输入 , PE FCS, 将 FCS 附加 在 M 后 并 对 M Fl FCS 一 起 加 密 。 
在 接收 端 ，B 解密 其 收 到 的 信息 ， 并 将 其 看 做 是 消息 和 附加 的 FCS， 用 相同 的 函数 F 
重新 计算 FCS。 若 计算 得 到 的 FCS 和 接收 到 的 FCS 相等 ， 则 B 认为 消息 是 真实 的 。 任 
何 随机 的 位 串 不 可 能 产生 M 和 FCS 之 间 的 上 述 联 系 。 

源 A 宿 B 


M “© 
-P -oa Oe 
HL Ex(M\\F(M)] ww _} 












































(a) 内 部 错误 控制 
EM 





























FIE(M )] 
(O) 外 部 错误 控制 
图 6-2 内 部 和 外 部 错误 控制 


注意 ，FCS 和 加 密 函 数 执 行 的 顺序 很 重要 。Diffie 等 [1979] 将 图 6-2 (a) 所 示 的 这 种 
序列 称 为 内 部 错误 控制 ， 以 与 外 部 错误 控制 (图 6-2(b)) 对 应 。 对 于 内 部 错误 控制 ， 
由 于 攻击 者 很 难产 生 密 文 ， 使 得 解密 后 其 错误 控制 位 是 正确 的 ， 因 此 内 部 错误 控制 可 以 
提供 认证 ; 如 果 FCS 是 外 部 码 ， 那 么 攻击 者 可 以 构造 具有 正确 错误 控制 码 的 消息 ， 虽 然 
攻击 者 不 知道 解密 后 的 明文 是 什么 ， 但 他 可 以 造成 混淆 并 破坏 通信 。 

错误 控制 码 仅 是 具有 上 述 结构 的 一 个 例子 。 事 实 上 ， 在 要 发 送 的 消息 中 加 入 任何 类 
型 的 结构 信息 都 会 增强 认证 能 力 。 分 层 协议 通信 体系 可 以 提供 这 种 结构 ， 例 如 ， 可 以 考 
IBE TCP/IP 传输 的 消息 结构 ， 图 6-3 给 出 的 TCP 段 的 格式 说 明了 TCP 报头 的 结构 。 
假定 每 对 主机 共享 一 个 密 钥 ， 并 且 无 论 是 何 种 应 用 ， 每 对 主机 间 都 使 用 相同 的 密 钥 进行 
信息 交换 ， 那 么 可 以 对 除 IP 报头 外 的 所 有 数据 报 加 密 ， 如 图 6-4 所 示 ， 如 果 攻 击 者 用 一 
条 消息 替代 加 密 后 的 TCP 段 ， 那 么 解密 后 得 出 的 明文 将 不 等 于 原 IP 报头 。 在 这 种 方法 
中 ， 头 不 仅 包 含 校 验 和 ， 而 且 还 含有 其 他 一 些 有 用 的 信息 ， 如 序列 号 。 因 为 对 于 给 定 连 
接 , 连续 的 TCP 段 是 按 顺序 编号 的 , 所 以 加 密使 攻击 者 不 能 删除 任何 段 或 改变 段 的 顺序 。 


2. 公 钥 加 密 
使 用 公 钥 加 密 (图 6-1(b)) 可 提供 保密 性 ， 但 不 能 提供 认证 。 发 送 方 4 使 用 接收 
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位 : 0 4 10 16 31 
源 端口 宿 端 口 
8 序列 号 
$ 应 答 号 
数据 偏 移 | 保留 标志 窗口 
校 验 和 紧急 指针 
选择 + 填充 | 
应 用 数据 I 
IRETE EO PE E J 
图 6-3 TCP BE 








Link-H | Net-H | IP-H |TCP-H| 数据 ”|Link-T 
(a) 应 用 层 加 密 (在 链 路 、 路 由 器 上 和 网 关中 ) 

































































r------------------------------ -> 
| [Linen | Nevn [ PH [rera WB Liner | 
| 在 链 路 、 路 由 器 上 | 
| [Linen | Newt | PH TCP-H| 数据 [Link-T | 
Ue EARR ea 
(b) TCP 层 加 密 
| 1 
| [Link-ti | Nett | peti [ropa] 数据 [tinker] | 
i 在 链 路 上 | 
| Link-H | NeeH | 1P-H |[TCP-H| 数据 [Linkr] | 
[SR fm 
(c) 链 路 层 加 密 
阴影 表示 加 密 
TCP-H=TCP 头 
IP-H=IP 头 


Net-H= 网 络 层 数 据 头 (如 X.25 分 组 头 ，LLC 头 ) 
Link-H= 数 据 链接 控制 协议 头 
Link-T= 数 据 链接 控制 协议 尾 


图 6-4 不 同 加 密 策略 的 实现 

Ñ B 的 公 钥 KU, 对 M 加 密 ， 由 于 只 有 B 拥有 相应 的 私 钥 KR,， 所 以 只 有 B 能 对 消息 解 
密 ,但 是 任何 攻击 者 可 以 假冒 4 用 B 的 公 钥 对 消息 加 密 , 所 以 这 种 方法 不 能 保证 真实 性 。 

车 要 提供 认证 ， 则 4 用 其 私 钥 对 消息 加 密 ， 而 B 用 4 的 公 钥 对 接收 的 消息 解密 
(图 6-1 (c))。 因为 只 有 4 拥有 KR。， 能 产生 用 KR, 可 解密 的 密 文 所 以 该 消息 一 定 来 
自 4。 同 样 ， 对 明文 也 必须 有 某 种 内 部 结构 以 使 接收 方 能 区 分 真实 的 明文 和 随机 的 
位 串 。 

假定 明文 具有 这 种 结构 ， 那 么 图 6-1 (c) 的 方法 既 可 提供 认证 ， 又 可 提供 数字 签名 
功能 。 由 于 只 有 4 拥有 KR。, 所 以 只 有 4 能 够 产生 密 文 , 甚至 接收 方 B 也 不 能 产生 密 文 ， 
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因此 若 B 接收 到 密 文 消 息 ， 则 B 可 以 确认 该 消息 来 自 4。 事 实 上 ，4 通过 用 其 私 钥 对 消 
息 加 密 来 对 该 消息 “签名 ”。 
注意 ， 这 种 方法 不 能 提供 保密 性 ， 因 为 任何 拥有 4 的 公 钥 的 人 都 可 将 密 文 解密 。 
如 果 既 要 提供 保密 性 又 要 提供 认证 , 那么 4 可 先 用 其 私 钥 对 M 加 密 ， 这 就 是 数字 签 
名 ; 然后 4 用 互 的 公 钥 对 上 述 结果 加 密 ， 这 可 保证 保密 性 〈 图 6-1 (d))。 但 这 种 方法 的 
缺点 是 ， 一 次 通信 中 要 执行 4 次 复杂 的 公 钥 算 法 。 
表 6-1 归纳 总 结 了 各 种 消息 加 密 方法 在 提供 保密 性 和 认证 方面 的 特点 。 
表 6-1 各 种 消息 加 密 方法 在 提供 保密 性 和 认证 方面 的 特点 
特 点 
提供 保密 性 : AA AA BEEK 
提供 认证 : RERA A 传输 中 未 被 改变 ， 需 
要 某 种 数据 组 织 形式 或 元 余 
不 能 提供 数字 签名 : 接收 方 可 以 伪造 消息 ; 发 
送 方 可 以 否认 消息 
提供 保密 性 :只 有 B 拥 有 用 于 解密 的 密 钥 KR， 
公 钥 〈 非 对 称 ) 加密 A> B: Ey [M] 不 能 提供 认证 : 任何 一 方 都 可 用 KU, 对 消息 加 
密 并 假 称 是 4 


提供 认证 和 签名 : 只 有 4 拥有 用 于 加 密 的 密 钥 
公 钥 加 密 : 认证 和 签名 | A> B: Er, [M] KR, ; 传输 中 未 被 改变 ; 需要 某 种 数据 组 织 形 
式 或 元 余 ;任何 一 方 可 用 KU。 来 验证 签名 
公 钥 加 密 : 保密 性 、 认 提供 保密 性 (因为 KU, ) 


6.1.2 ”消息 认证 码 


消息 认证 码 又 称 MAC, 也 是 一 种 认证 技术 , 它 利 用 密 钥 来 生成 一 个 固定 长 度 的 短 数 
据 块 ， 并 将 该 数据 块 附 加 在 消息 之 后 。 在 这 种 方法 中 ， 假 定 通信 双方 ， 比 如 4 AB, Fk 
享 密 钥 K。 若 4 向 下 发 送 消息 , 则 4 计算 MAC, 它 是 消息 和 密 钥 的 函数 , 即 MAC = Cx(M)， 
其 中 : 














对 称 加 密 











ME 输入 消息 
C=MAC 函数 
K= 共 享 的 密 钥 
MAC= 消 息 认证 码 
消息 和 MAC 被 一 起 发 送 给 接收 方 。 接 收 方 对 接收 到 的 消息 用 相同 的 密 钥 K 进行 相 
同 计算 , 得 出 新 的 MAC, 并 将 接收 到 的 MAC 与 其 计算 出 的 MAC 进行 比较 (图 6-5(a))。 
如 果 假定 只 有 收发 双方 知道 该 密 钥 , 且 若 接收 到 的 MAC 与 计算 得 出 的 MAC 相等, 则 有 : 
(1) 接收 方 可 以 相信 消息 未 被 修改 。 如 果 攻 击 者 改变 了 消息 ， 但 他 无 法 改变 相应 的 
MAC， 所 以 接收 方 计算 出 的 MAC 将 不 等 于 接收 到 的 MAC。 因 为 已 假定 攻击 者 不 知道 
密 钥 ， 所 以 他 不 知道 应 如 何 改变 MAC 才能 使 其 与 修改 后 的 消息 相 一 致 。 
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(2) 接收 方 可 以 相信 消息 来 自 真正 的 发 送 方 。 因 为 其 他 各 方 均 不 知道 密 钥 ， 因 此 不 
能 产生 具有 正确 MAC 的 消息 。 

G) 如 果 消 息 中 含有 序列 号 (如 HDLC，X.25 和 TCP 中 使 用 的 序列 号 )， 那 么 接收 
方 可 以 相信 消息 顺序 是 正确 的 ， 因 为 攻击 者 无 法 成 功 地 修改 序列 号 。 

MAC 函数 与 加 密 类 似 。 其 区 别 之 一 是 MAC 算法 不 要 求 可 道 性 ， 而 加 密 算法 必须 是 
可 道 的 。 一 般 而 言 , MAC 函数 是 多 对 一 函数 ， 其 定义 域 由 任意 长 的 消息 组 成 ， 而 值 域 由 
所 有 可 能 的 MAC 和 密 钥 组 成 。 若 使 用 位 长 的 MAC， 则 有 >” 个 可 能 的 MAC, 而 有 NN 
条 可 能 的 消息 ， 其 中 N >> 2” o RAKA k WE 2* 种 可 能 的 密 钥 。 

例如 ， 假 定 使 用 100 位 的 消息 和 10 位 的 MAC， 那 么 总 共有 2 种 不 同 的 消息 ， 但 
仅 有 2" 种 不 同 的 MAC。 所 以 平均 而 言 , 同一 MAC 可 以 由 2”/2" =2% 条 不 同 的 消息 产 
生 。 若 使 用 的 密 钥 长 为 5 位 ， 则 从 消息 集合 到 MAC 值 的 集合 有 25 = 32 种 不 同 的 映射 。 

可 以 证 明 ， 由 于 认证 函数 的 数学 性 质 ， 与 加 密 相 比 ， 认 证 函数 更 不 易 被 攻破 。 

如 图 6-5 a) 所 示 的 过 程 可 以 提供 认证 但 不 能 提供 保密 性 ， 因 为 整个 消息 是 以 明文 
形式 传送 的 。 若 在 MAC 算法 之 后 (图 6-5 (b)) 或 之 前 (图 6-5 (co) 对 消息 加 密 ， 则 
可 以 获得 保密 性 。 这 两 种 情形 都 需要 两 个 独立 的 密 钥 ， 并 且 收 发 双方 共享 这 两 个 密 钥 。 
在 第 1 种 情形 中 ， 先 将 消息 作为 输入 ， 计算 MAC， 并 将 MAC 附加 在 消息 后 ， 然 后 对 整 
个 信息 块 加 密 ， 在 第 2 种 情形 中 ， 先 将 消息 加 密 ， 然 后 将 此 密 文 作为 输入 ， 计 算 MAC, 
并 将 MAC 附加 在 上 述 密 文 之 后 形成 待 发 送 的 信息 块 。 一 般 而 言 , 将 MAC 直接 附加 于 明 
文 之 后 要 更 好 一 些 ， 所 以 通常 使 用 图 6-5 (b) 中 的 方法 。 
























































(a) 消息 认证 


K pl © -J © i 

















C=] 





K, Ex(MilHg(M)) K, 


Hp (M) 
(b) 消息 认证 和 保密 性 ; 与 明文 有 关 的 认证 





























Ax (E; KL M)) 
(c) 消息 认证 和 保密 性 ; 与 密 文 有 关 的 认证 
图 6-5 消息 认证 码 (MAC) 的 基本 用 途 
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对 称 加 密 可 以 提供 认证 ， 且 它 已 被 广泛 用 于 现 有 产品 之 中 ， 那 么 为 什么 不 直接 使 
这 种 方法 而 要 使 用 分 离 的 消息 认证 码 呢 ? Davies 等 提出 了 3 种 使 用 消息 认证 码 的 情形 : 

(1) 有 许多 应 用 是 将 同一 消息 广播 给 很 多 接收 者 。 例 如 ， 需 要 通知 各 用 户 网 络 暂 时 
不 可 使 用 ， 或 一 个 军事 控制 中 心 要 发 一 条 警报 。 这 种 情况 下 ， 一 种 经 济 可 靠 的 方法 就 是 
只 要 一 个 接收 者 负责 验证 消息 的 真实 性 ， 所 以 消息 必须 以 明文 加 上 消息 认证 码 的 形式 进 
行 广播 。 上 述 负 责 验 证 的 接收 者 拥有 密 钥 并 执行 认证 过 程 ， 若 MAC 错误 ， 他 则 发 警报 
通知 其 他 接收 者 。 

(2) 在 信息 交换 中 ， 可 能 有 这 样 一 种 情况 ， 即 通信 的 某 一 方 的 处 理 负荷 很 大 ， 没 有 
时 间 解 密 所 有 接收 到 的 消息 ， 他 应 能 随机 选择 消息 并 对 其 进行 认证 。 

(3) 对 明文 形式 的 计算 机 程序 进行 认证 是 一 种 很 有 意义 的 服务 。 运 行 一 个 计算 机 程 
序 而 不 必 每 次 对 其 解密 ， 因 为 每 次 对 其 解密 会 浪费 处 理 器 资源 。 若 将 消息 认证 码 附 于 该 
程序 之 后 ， 则 可 在 需要 保证 程序 完整 性 的 时 候 才 检验 消息 认证 码 。 

除 此 以 外 ， 还 有 下 述 3 种 情形 : 

(1) 一 些 应 用 并 不 关心 消息 的 保密 性 ， 而 关心 消息 认证 。 例 如 ， 简 单 网 络 管理 协议 
版 本 3 (SNMP v3) 就 是 如 此 ， 它 将 提供 保密 性 和 提供 认证 分 离开 来 。 对 这 些 应 用 ， 管 
理 系统 应 对 其 接收 到 的 SNMP 消息 进行 认证 ， 这 一 点 非常 重要 ， 尤 其 是 当 消息 中 包含 修 
改 系 统 参数 的 命令 时 更 是 如 此 ， 但 对 这 些 应 用 不 必 对 SNMP 的 传输 进行 加 密 。 

(2) 将 认证 和 保密 性 分 离开 来 ， 可 使 层次 结构 更 加 灵活 。 例 如 ， 可 能 希望 在 应 用 层 
对 消息 进行 认证 ， 而 在 更 低层 上 ， 如 传输 层 ， 则 可 能 希望 提供 机 密 性 。 

G) 仅 在 接收 消息 期 间 对 消息 实施 保护 是 不 够 的 ， 用 户 可 能 希望 延长 对 消息 的 保护 
时 间 。 就 消息 加 密 而 言 ， 消 息 被 解密 后 就 不 再 受 任何 保护 ， 这 样 只 是 在 传输 中 可 以 使 消 
息 不 被 修改 ， 而 不 是 在 接收 方 系统 中 保护 消息 不 被 修改 。 由 于 收发 双方 共享 密 钥 ， 因 此 
MAC 不 能 提供 数字 签名 。 

表 6-2 归纳 总 结 了 图 6-5 所 示 的 各 种 方法 在 提供 保密 性 和 认证 方面 的 特点 。 

表 6-2 各 种 方法 在 提供 保密 性 和 认证 方面 的 特点 














基本 用 途 
消息 认证 和 保密 性 :| 4 Bp: [MC an) 提供 认证 :只 有 4 各 共享 K 
与 明文 有 关 的 认证 oe 提供 保密 性 ， 只 有 4 BIB IEH Ke 
消息 认证 和 保密 性 :| 4 ae [MWC CE DO) | 提供 认证 : WIR, 
与 密 文 有 关 的 认证 SS 提供 保密 性 ， 使 用 Ko 





6.1.3 ”杂凑 函数 

杂凑 函数 (Hash Function) 是 将 任意 长 的 数字 串 M 映射 成 一 个 较 短 的 定 长 输出 数字 
E HØRG Dh 表示 ，h(M) 易 于 计算 BH =h(M) A M 的 杂凑 值 ， 也 称 杂凑 码 、 
杂凑 结果 等 或 简称 杂凑 。 这 个 且 无 疑 打上 了 输入 数字 串 的 烙印 , 因此 又 称 其 为 输入 M 的 
数字 指纹 (Digital Finger Print). h 是 多 对 一 映射 ， 因 此 不 能 从 五 求 出 原来 的 M， 但 可 以 
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验证 任 一 给 定 序列 M 是 否 与 M 有 相同 的 杂凑 值 。 

单 向 杂凑 函数 还 可 按 其 是 否 有 密 钥 控制 划分 为 两 大 类 。 一 类 有 密 钥 控制 , 以 MK, M) 
表示 ， 为 密码 杂凑 函数 ， 另 一 类 无 密 钥 控制 ， 为 一 般 杂 凑 函 数 。 无 密 钥 控制 的 单 向 杂凑 
函数 ， 其 杂凑 值 只 是 输入 字 串 的 函数 ， 任 何人 都 可 以 计算 ， 因 而 不 具有 身份 认证 功能 ， 
只 用 于 检测 接收 数据 的 完整 性 ， 如 算 改 检测 码 (MDC)， 用 于 非 密码 计算 机 应 用 中 。 有 
密 钥 控制 的 单 向 杂凑 函数 ， 要 满足 各 种 安全 性 要 求 ， 其 杂凑 值 不 仅 与 输入 有 关 ， 而 且 与 
密 钥 有 关 ， 只 有 持 此 密 钥 的 人 才能 计算 出 相应 的 杂凑 值 ， 因 而 具有 身份 验证 功能 ， 如 消 
息 认证 码 (MAC) [ANSI X 9.9 1986]。 此 时 的 杂凑 值 也 称 做 认证 符 Cauthenticator) 或 认 
证 码 。 密 码 杂凑 函数 在 现代 密码 学 中 有 重要 作用 。 本 章 主要 研究 密码 杂凑 函数 ， 简 称 杂 

杂凑 函数 在 实际 中 有 广泛 的 应 用 。 在 密码 学 和 数据 安全 技术 中 ， 它 是 实现 有 效 、 安 
全 可 靠 数字 签名 和 认证 的 重要 工具 ， 是 安全 认证 协议 中 的 重要 模块 。 由 于 杂凑 函数 应 用 
的 多 样 性 和 其 本 身 的 特点 而 有 很 多 不 同 的 名 字 ， 其 含义 也 有 差别 ,如 压缩 (compression) 
函数 、 紧 缩 (contraction) 函数 、 数 据 认 证 码 (Data Authentication Code), 消息 摘要 (Message 
Digest)、 数 字 指 纹 、 数 据 完整 性 校 验 (Data Integity Check)、 密 码 检 验 和 (Cryptographic 
Check Sum)、 消 息 认证 码 (Message Authentication Code, MAC)、 算 改 检测 码 (Manipulation 
Detection Code，MDC) 等 。 

密码 学 中 所 用 的 杂凑 函数 必须 满足 安全 性 的 要 求 ， 要 能 防伪 造 ， 抗 击 各 种 类 型 的 攻 
击 ， 如 生日 攻击 、 中 途 相遇 攻 击 等 。 因 此 必须 深入 研究 杂凑 函数 的 性 质 ， 从 中 找 出 能 满 
足 密 码 学 需要 的 杂凑 函数 。 下 面 首 先 引 入 一 些 基 本 概念 。 

有 关 单 向 杂凑 函数 的 论述 可 参阅 [Preneel 1993a, 1993b; Zhu 1996]， 有 关 非 密码 杂 
凑 函 数 的 论述 可 参阅 相关 文献 Wegman 等 指出 了 密 钥 用 于 杂凑 函数 作为 认证 ， 
Rabin[1978，1979] 建 议 将 单 向 杂凑 函数 与 数字 签名 相 结合 。 

单 向 杂凑 函数 是 消息 认证 码 的 一 种 变形 。 与 消息 认证 码 一 样 ， 杂 凑 函 数 的 输入 是 大 
小 可 变 的 消息 WM， 和 输出 是 大 小 固定 的 杂凑 码 五 (M) 。 与 MAC 不 同 ， 杂 凑 码 并 不 使 用 密 
钥 ， 它 仅 是 输入 消息 的 函数 。 杂 凑 码 有 时 也 称 为 消息 摘要 ， 或 杂凑 值 。 所 以 杂凑 码 也 是 
所 有 消息 位 的 函数 ， 它 具有 错误 检测 能 力 ， 即 改变 消息 的 任何 一 位 或 多 位 ， 都 会 导致 杂 
凑 码 的 改变 。 


O2 MAWES 











MAC 也 称 为 密码 校 验 和 ， 它 由 下 述 形式 的 函数 C 产 生 : 
MAC=C,(M) 
其 中 ，M 是 一 个 变 长 消息 , 玉 是 收发 双方 共享 的 密 钥 ，Cx(M) 是 定 长 的 认证 符 。 在 假定 
或 已 知 消息 正确 时 ， 将 MAC 附 于 发 送 方 的 消息 之 后 发 送 给 接收 方 ， 接 收 方 可 通过 计算 
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6.2.1 对 MAC 的 要 求 


为 了 获得 保密 性 ， 可 用 对 称 或 非 对 称 密码 对 整个 消息 加 密 ， 这 种 方法 的 安全 性 一 般 
依赖 于 密 钥 的 位 长 。 除 了 算法 中 本 身 的 某 些 弱点 外 ， 攻 击 者 可 以 对 所 有 可 能 的 密 钥 进行 
穷 举 攻击 。 对 于 一 个 上 位 的 密 钥 ， 穷 举 攻击 一 般 需 要 24 7? 步 。 对 仅 依 赖 于 明文 的 攻击 ， 
若 给 定 密 文 C, 攻击 者 要 对 所 有 可 能 的 天 计算 已 = Dy (C)， 直到 产生 的 某 妃 具有 适当 的 
明文 结构 为 止 。 

对 MAC 情况 则 完全 不 一 样 。 一 般 来 讲 ，MAC 函数 是 多 对 一 函数 。 攻 击 者 如 何 用 穷 
举 方法 找到 密 钥 呢 ? 如 果 没 有 提供 保密 性 ， 那 么 攻击 者 可 访问 明文 形式 的 消息 及 其 
MAC. (fix k>n, MEERA MAC K, WAIE MAC, = Cx (M,) ft) M, 和 
MAC, , 密码 分 析 者 要 对 所 有 可 能 的 密 钥 值 K, 计算 MAC, = Ck (M,) » 那么 至 少 有 一 个 密 
钥 会 使 得 MAC, =MAC, 。 注 意 ， 总 共 会 产生 关 个 MAC, 但 只 有 2” < 站 个 不 同 的 MAC 
值 ， 所 以 许多 密 钥 都 会 产生 正确 的 MAC, 而 攻击 者 却 不 知道 哪个 是 正确 的 密 钥 。 平 均 来 
说 ， 有 2 /2" = 24" 个 密 钥 会 产生 正确 的 MAC， 因 此 攻击 者 必须 重复 下 述 攻击 ; 

(1) 循环 1。 

给 定 M MAC, =Cx(M,) 

对 所 有 关 个 密 钥 ， 判 断 MAC, = Ck (M1) 
匹配 数 = 26” 

(2) 循环 2。 

45 M,, MAC, =C,(M,) 

HR BY 24 ARHAN MAC, = Cy (M2) 
匹配 数 = 22" 

平均 来 说 ， 若 k=axn， 则 需 a 次 循环 。 例 如 ， 如 果 使 用 80 位 的 密 钥 和 长 为 32 位 

的 MAC, 那么 第 1 次 循环 会 得 到 约 2* 个 可 能 的 密 钥 , 第 2 次 循环 会 得 到 约 2* 个 可 能 的 
密 铀 ， 第 3 次 循环 则 得 到 唯一 一 个 密 钥 ， 这 个 密 钥 就 是 发 送 方 所 使 用 的 密 钥 。 
如 果 密 钥 的 长 度 小 于 或 等 于 MAC 的 长 度 ， 则 很 可 能 在 第 1 次 循环 中 就 得 到 一 个 密 
钥 ， 当 然 也 可 能 得 到 多 个 密 钥 ， 这 时 攻击 者 还 需 对 新 的 〈 消 息 ， MAC) 对 执行 上 述 测试 。 
此 可 见 ， 用 穷 举 方法 来 确定 认证 密 钥 不 是 一 件 容易 的 事 ， 而 且 确 定 认证 密 钥 比 确 
定 同样 长 度 的 加 密 密 钥 更 困难 。 不 过 可 能 存在 不 需要 寻找 密 钥 的 其 他 攻击 。 

分 析 下 面 的 MAC 算法 。 令 消息 M = (X, || _X, lX el An) AEH 64 位 分 组 总 连接 而 
成 的 。 定 义 : 
































A(M)=X,@X, DO.…OX, 

Cx (M) = Ex[A(M)] 
其 中 @ 是 异 或 (XOR) 运算 ， 加 密 算法 是 电子 密码 本 模式 DES， 那 么 密 钥 长 为 56 位 ， 
MAC 长 为 64 位 。 若 攻击 者 知道 {MI|Ck(M)} ,， 则 确定 天 的 穷 举 攻击 需 执行 至 少 2 次 加 
密 ， 但 是 攻击 者 可 以 用 任何 期 望 的 至 YY 替代 XY 至 XX,，,， 用 二 ,替代 ,来 进行 攻击 ， 
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Joh Y, 的 计算 如 下 





Y, =Y @Y,@--@Y,, ®A(M) 

攻击 者 可 以 将 至 ,与 原来 的 MAC 连接 成 一 个 新 的 消息 ， 而 接收 方 却 会 认为 该 消 
息 是 真实 的 。 用 这 种 办 法 ， 攻 击 者 可 以 随意 插入 任意 长 为 64x (m1) 位 的 消息 。 
因此 ， 评 价 MAC 函数 的 安全 性 时 ， 应 该 考虑 对 该 函数 的 各 种 类 型 的 攻击 。 下 面 介 
绍 MAC 函数 应 满足 的 要 求 。 假 定 攻击 者 知道 MAC 函数 C， 但 不 知道 K， 那 么 MAC K 
数 应 具有 下 述 性 质 : 

A) 车 攻击 者 已 知 M 和 Cx(M)， 则 他 构造 满足 Ck(M')=Cx(M) 的 消息 M'， 在 计 
算 上 是 不 可 行 的 。 

(2) Ck(M) 应 是 均匀 分 布 的, 即 对 任何 随机 选择 的 消息 M 和 M'，Cx(M)= Ck(M') 
的 概率 是 2”， 其 中 是 MAC 的 位 数 。 

G) HM EB M 的 某 个 已 知 的 变换 ， 即 M'= 了 (M)。 例 如 ，f 可 表示 北 转 M 的 一 位 
RL, MA Pr[C,.(M)=C,(M')]=2". 

前 面 已 介绍 过 ， 攻 击 者 即使 不 知道 密 钥 ， 也 可 以 构造 出 与 给 定 的 MAC 匹配 的 新 消 
息 ， 第 1 个 要 求 就 是 针对 这 种 情况 提出 的 。 第 2 个 要 求 是 为 了 阻止 基于 选择 明文 的 穷 举 
攻击 , 也 就 是 说 , 假定 攻击 者 不 知道 ,但 是 他 可 以 访问 MAC 函数 , 能 对 消息 产生 MAC, 
那么 攻击 者 可 以 对 各 种 消息 计算 MAC， 直 至 找到 与 给 定 MAC 相同 的 消息 为 止 。 如 果 
MAC 函数 具有 均匀 分 布 的 特征 , 那么 穷 举 方法 平均 需要 2 步 才能 找到 具有 给 定 MAC 
的 消息 。 

(4) 认证 算法 对 消息 的 某 一 部 分 或 位 不 应 比 其 他 部 分 或 位 更 弱 。 否 则 ,已 知 M 和 
Cx(M) 的 攻击 者 可 以 对 M 的 已 知 “ 弱 点 ”处 进行 修改 ， 然 后 再 计算 MAC， 这 样 有 可 能 
更 早 得 出 具有 给 定 MAC 的 新 消息 。 


6.2.2 ”基于 杂凑 函数 的 MAC 


杂凑 函数 自然 而 然 地 成 为 数据 完整 性 的 一 种 密码 原型 。 在 共享 密 钥 的 情况 下 ， 杂 凑 
函数 将 密 钥 作 为 它 的 一 部 分 输入 ， 男 一 部 分 输入 为 需要 认证 的 消息 。 因 此 ， 为 了 认证 一 
个 消息 M， 发 送 者 计算 

















MAC = h(k || M) 
其 中 , 大 为 发 送 者 和 接收 者 的 共享 密 钥 ,“ 1 ”表示 比特 串 的 连接 。 
根据 杂凑 函数 的 性 质 可 以 假设 : 为 了 用 杂凑 函数 生成 一 个 有 效 的 关于 密 钥 和 消息 
MI) MAC, 该 主体 必须 拥有 正确 的 密 钥 和 正确 的 消息 。 与 发 送 者 共享 密 钥 的 接收 者 应 
当 由 所 接收 的 消息 M 重 新 计算 出 MAC， 并 检验 同 所 接收 的 MAC 是 否 一 致 。 如 果 一 致 ， 
就 可 以 相信 该 消息 来 自 所 声称 的 发 送 者 。 
因为 这 样 的 MAC 是 使 用 杂凑 函数 构造 的 ， 因 此 也 称 为 HMAC 〈 用 杂凑 函数 构造 的 
MAC)。 为 谨慎 起 见 ，HMAC 通常 按照 下 面 的 形式 计算 
HMAC = h(k || M || k) 

EREN, UGE AISA ak, AEA T kB AHA R 

数 的 “ 轮 函 数 和 迭代 ”结构 。 如 果 不 用 密 钥 保护 消息 的 两 端 ， 某 些 杂凑 函数 所 具有 的 已 知 
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结构 , 可 使 攻击 者 不 必 知 道 密 钥 就 可 以 选择 一 些 数据 用 做 消息 前 级 或 后 级 来 修改 消息 。 


6.2.3 ”基于 分 组 加 密 算法 的 MAC 


构造 密 钥 杂凑 函数 的 标准 方法 是 使 用 分 组 密码 算法 的 CBC 运行 模式 。 这 样 构 造 的 密 
SARE Ph BOM If BK MAC. 

S E,(m) 表 示 输 入 消息 为 m BHAA k 的 分 组 密码 加 密 算 法 。 为 了 认证 消息 M, R 
送 者 首先 对 M 进行 分 组 : 

M =m, m, 
其 中 ， 每 一 个 子 消息 组 m (i=1,2,…,/) 的 长 度 都 等 于 分 组 加 密 算法 输入 的 长 度 。 如 果 最 
后 一 个 子 消息 组 m, 长 度 小 于 分 组 长 度 ， 就 必须 对 其 填充 一 些 随 机 值 。 设 C, = IV 为 随机 
初始 向 量 。 现 在 ， 发 送 者 用 CBC 加 密 : 
C,<E,(m,®C,,)» i=1,2,…, 
然后 ， 数 值 对 
(IV,C,) 
作为 MAC 将 附 在 M 后 送出 。 

很 明显 ， 在 生成 CBC-MAC (由 运行 CBC 模式 的 分 组 密码 构造 的 MAC) 的 计算 中 
包括 了 不 可 求 逆 的 数据 压缩 (本质 上 ，CBC-MAC 是 整个 消息 的 “ 短 摘要 ”)， 因 此 
CBC-MAC 是 一 个 单 向 变换 ， 而 且 所 用 的 分 组 密码 加 密 算法 的 混合 变换 性 质 为 这 个 单 向 
变换 增加 了 一 个 杂凑 特点 (也 就 是 说 , MAC 分 布 到 MAC 空间 与 分 组 密码 加 密 算法 应 
该 将 密 文 分 布 到 密 文 空间 同样 均匀 )。 因此, 可 以 设想 , 为 了 生成 一 个 有 效 的 CBC-MAC, 
该 主体 必须 知道 控制 分 组 密码 算法 的 密 钥 k。 与 发 送 者 共享 密 钥 上 的 接收 者 应 当 由 所 接 
收 的 消息 M 重新 计算 出 MAC， 并 检验 与 所 接收 的 MAC 是 否 一 致 。 如 果 一 致 ， 就 可 以 
相信 该 消息 来 自 所 声称 的 发 送 者 。 

有 时 用 MAC(k,M) 表示 一 个 MAC， 它 为 共享 密 钥 大 的 主体 的 消息 M 提供 完整 性 服 
务 。 在 这 个 表示 法 中 ， 忽 略 了 实现 细节 ， 比 如 为 实现 MAC 采用 了 何 种 单 向 变换 等 。 
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6.3.1 单 向 杂凑 函数 


第 5 章 中 已 经 介绍 了 单 向 函数 的 一 些 基 本 概念 ， 单 向 函数 不 仅 在 构造 双 钥 密码 体制 
中 有 重要 意义 ， 而 且 也 是 杂凑 函数 理论 中 的 一 个 核心 概念 。 

定义 6-1 若 杂凑 函数 户 为 单 向 函数 ， 则 称 其 为 单 向 杂凑 函数 。 

显然 ， 对 一 个 单 向 杂凑 函数 轧 由 M 计 算 万 =h(M) 是 容易 的 ， 但 要 产生 一 个 M'， 
使 h(M') 等 于 给 定 的 杂凑 值 是 困难 的 ， 这 正 是 密码 中 所 希望 的 。 

定义 6-2 ” 若 单 向 杂凑 函数 h， 对 任意 给 定 M 的 杂凑 值 了 五 = h(M) 下 ， 找 一 M'， 使 
h(M')= H 在 计算 上 不 可 行 ， 则 称 h 为 弱 单 向 杂 竣 函数 。 
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定义 6-3 ”对 单 向 杂凑 函数 h, HALE IA M -> M,» M,#M,, fi h(M,)= 
KAMY 在 计算 上 不 可 行 ， 则 称 为 强 单 向 杂凑 函数 。 

上 述 两 个 定义 给 出 了 杂凑 函数 的 无 碰撞 (Collision Free) 性 概念 。 所 谓 弱 单 向 杂凑 ， 
就 是 在 给 定 M 下 ， 考 察 与 特定 M 的 无 碰撞 性 ， 强 单 向 杂凑 函数 是 考查 输入 集中 任意 两 
个 元 素 的 无 碰撞 性 。 显 然 ， 对 于 给 定 的 输入 数字 串 的 集合 ， 后 一 种 碰撞 更 容易 实现 。 因 
为 从 下 面 要 介绍 的 生日 悖 论 得 知 , 在 NN 个 元 素 的 集中 , 给 定 M 找 与 M 相 匹配 的 M' 的 概 
率 ， 要 比 从 WN 中 任 取 一 对 元 素 (M,M') 相 匹配 的 概率 小 得 多 。 


6.3.2 ”杂凑 函数 在 密码 学 中 的 应 用 


杂凑 函数 广泛 应 用 于 密码 学 。 这 里 列 出 杂凑 函数 的 几 个 重要 用 途 : 

C1) 在 数字 签名 中 ， 杂 凑 函 数 一 般 用 来 产生 “消息 摘要 ”或 “消息 指纹 ”。 这 种 用 法 
是 为 将 要 签署 的 消息 增加 一 个 可 以 验证 的 元 余 , 以 便 这 个 杂凑 消息 包含 可 以 识别 的 信息 。 
在 数字 签名 中 将 看 到 杂凑 函数 的 这 种 一 般 用 法 。 在 那里 ， 将 主要 依赖 包含 在 签名 消息 中 
的 一 些 可 识别 的 元 余 信息 来 实现 数字 签名 体制 的 安全 性 不 可 抵赖 性 )。 

(2) 在 具有 实用 安全 性 的 公 钥 密码 系统 中 ， 杂 凑 函 数 被 广泛 用 于 实现 密 文 正确 性 验 
证 机 制 。 对 于 要 获得 可 证 明 安 全 的 抗 主动 攻击 的 加 密 体制 来 说 , 这 个 机 制 是 必 不 可 少 的 。 

G) 在 需要 随机 数 的 密码 学 应 用 中 ， 杂 凑 函 数 被 广泛 用 做 实用 的 伪 随 机 函数 。 这 些 
应 用 包括 密 钥 协 商 〈 如 两 个 主体 将 自己 的 随机 种 子 作为 杂凑 函数 的 输入 ， 得 到 一 个 共享 
的 密 钥 值 )、 认 证 协议 〈 如 协议 双方 通过 交换 某 些 杂凑 值 来 证 实 协议 执行 的 完整 性 )、 电 
子 商务 协议 〈 如 以 博弈 方式 实现 小 额 支付 的 聚集 )、 知识 证 明 协 议 〈 如 实现 非 交 互 式 的 证 
明 )。 在 本 书 的 其 他 章节 中 ， 将 介绍 杂凑 函数 用 于 这 些 协议 的 大 量 例子 。 


6.3.3 ”分 组 迭代 单 向 杂凑 算法 的 层次 结构 


要 想 将 不 限定 长 度 的 输入 数据 压缩 成 定 长 输出 的 杂凑 值 ， 不 可 能 设计 一 种 罗 辑 电路 
使 其 一 步 到 位 。 在 实际 应 用 中 ， 总 是 先 将 输入 数字 串 划分 成 固定 长 的 段 ， 如 m 比特 段 ， 
再 将 此 mb 映射 成 nb， 完 成 此 映射 的 函数 被 称 为 迭代 函数 。 采 用 类 似 于 分 组 密 文 反馈 的 
模式 对 一 段 mb 输入 做 类 似 映 射 ， 依 此 类 推 ， 直 到 全 部 输入 数字 串 完成 映射 ， 以 最 后 的 
输出 值 作为 整个 输入 的 杂凑 值 。 类 似 于 分 组 密码 ， 当 输入 数字 串 不 是 m 的 整数 倍 时 ， 可 
采用 填充 方法 处 理 。 

mb 到 nb [ZS ZH WR IEE RAT 3 种 不 同 选择 : 

(1) m>n。 有 数据 压缩 ， 例 如 ，MD-4、MD-5 和 SHA 等 算法 是 不 可 道 映射 。 

(2) m=n。 无 数据 压缩 ， 也 无 数据 扩展 ， 通 常 分 组 密码 采用 此 类 。 此 时 输入 到 输 
出 是 一 种 随机 映射 ， 在 已 知 密 钥 下 是 可 道 的 。 利 用 分 组 密码 构造 的 杂凑 算法 多 属 此 类 。 
在 不 知道 密 钥 的 情况 下 ， 分 组 密码 实质 上 是 一 个 单 向 函数 〈 或 更 确切 地 说 是 陷 门 单 向 函 
数 )。 

G) m<n。 有 数据 扩展 的 映射 ， 认 证 码 属于 此 类 。 
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当然 ， 连 代 函 数 的 设计 也 可 采用 上 述 组 合 来 实现 ， 如 采用 将 mb 先进 行 扩展 ， 然 后 
下 逐步 经 过 几 次 压缩 ， 实 现 理想 的 密码 特性 ， 如 Universal, 函数 的 构造 法 [Stinson 1994; 
Zhu 1996]。 

一 个 mb 到 nb 的 迭代 函数 以 已 表示 ,一 般 已 都 是 通过 基本 轮 函 数 的 多 轮 迭 代 实 现 的 ， 
分 组 密码 。 因 此 ， 像 分 组 密码 一 样 ， 轮 函数 的 设计 是 杂凑 算法 设计 的 核心 。 

在 和 欠 代 计算 杂凑 值 时 ， 为 了 使 输入 消息 随机 化 ， 多 采用 了 一 个 随机 化 初始 向 量 IV 
(Initial Vector)。 它 可 以 是 已 知 的 ， 或 随 密 钥 改变 ， 或 作为 前 缀 (prefix) 加 在 消息 数字 
Zi, DH, A. 

6.3.4 ARR SRM MIA 
BE PP ATER E, PYF PIR TR HEP Td RAR PB EL, M 划 分 成 
HLM,» M,» s M,» s M,o BORER A K, OH, 为 初始 向 量 IV， 一 般 为 一 随 
机 的 比特 串 ， 则 可 有 下 述 多 种 迭代 方式 构造 杂凑 函数 。 
(1) Rabin 法 [Rabin 1978]. 
H, =IV 
H,=E(M,,H,,) i=L,..,t 
H(M)=H, 
(2) 密码 分 组 链接 (CBC) 法 。 
H, =IV 
H,=E(K,M,®H,,) =12 
H(M)=H, 
ANSI X9.9, ANSI X9.19, ISO 8731-1, ISO/IEC 9797 以 及 澳大利亚 标准 都 采用 了 这 
类 CBC-MAC 方案 。Ohta 等 [1994] 对 此 法 进行 了 差分 分 析 。 
(3) 密码 反馈 (CFB) 法 。 
H, =IV 
H,=E(K,H,,)®M, i=1,2,-,t 
H(M)=H, 
(4) 组 合 明 / 密 文 链接 法 [Meyer 等 1982] 。 
M,,, =IV 
H, =E(K,M,®M,,, @H,,) i=1,2,.,t 
H(M)=H,,, 
(5) 修正 Daveis-Meyer 法 [Lai 1992]. 
H, =IV 
H;=E(Hi, Mi, Hi) (H, AIM, EEA EA) 
车 数据 分 组 长 和 密 钥 长 度 相等 ， 则 可 利用 B.Preneel 总 结 的 下 述 12 种 基本 方式 构造 
的 分 组 迭代 杂凑 函数 [Preneel 1993a, 1993b]. 4 E 是 迭代 函数 ， 它 可 以 是 一 种 分 组 加 密 
GRE, E(K, X), K eH, 久 是 输入 数据 组 或 某 种 压缩 算法 。 令 消息 分 组 为 Ml ，…， 














eS 
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M, + Hy =1 为 初始 值 。 
(1) H,=E(M,,H,,)®H.,, 
«2) H, =E(H,,,M,)®M, © H,, 
(3) H, =E(H,..,M, ®H,,.)®M, 
(4) H,=E(H,,,M,®H,,)®M, ®H,, 
(5) H, =E(H,.,M,)® M, 
(6) H,=E(M,,M,®H,,)®M,@H,, 
(7) H, =E(M,,H,,)®M, ®H,, 
(8) H,=E(M,,M,@H,,)@H,, 
(9) H, =E(M,®H,,,M,)® M, 
(10) H, =E(M,®H,,,H,1)® H, 
(11) H, =E(M,® H,,,M,)® H, 
(12) H, =E(M, @H,,,H,.)®M, 
如 果 原 来 的 加 密 算法 是 安全 的 , 则 上 述 12 种 方案 给 出 的 杂凑 函数 对 于 目标 攻击 的 计 
算 复杂 度 为 0(2” )， 对 于 中 途 相 遇 攻 击 的 计算 复杂 度 为 0( 2"”?)， 因 而 当 杂 凑 值 大 于 128b 
时 也 是 安全 的 。 其 他 组 合 方式 如 : 
H, = E(M,,H,.,) 
H, = E(M, ® H,,,H,,)® Hi ® M, 
H,=E(C,M,@H,,)®H,@M,, Cw 
已 经 证 明 ， 以 上 3 种 组 合 方式 都 是 不 安全 的 。 


6.3.5 ”应 用 杂凑 函数 的 基本 方式 


杂凑 算法 可 与 加 密 及 数字 签名 结合 使 用 ， 实 现 系统 的 有 效 、 安 全 、 保 密 与 认证 。 其 
基本 方式 如 图 6-6 所 示 [William 2006]. 

图 中 的 (a) 部 分 ,发端 4 将 消息 M 与 其 杂凑 值 AM) 连 接 ， 以 单 钥 体 制 加 密 ， 然 后 
送 至 收 端 8B。 收 端 用 与 发 端 共享 密 钥 解密 后 得 M' RAM), REK M 送 入 杂凑 变换 器 计 
算出 h(M')， 并 通过 比较 完成 对 消息 M 的 认证 ， 从 而 提供 了 保密 和 认证 。 

图 中 Cb) 部 分 ， 消息 M 不 保密 ， 只 对 消息 的 杂凑 值 进行 加 解密 变换 ， 它 只 提供 

图 中 (ec) 部 分 ， 发端 4 采用 双 钥 体制 ， 用 4 的 密 钥 KR, 对 杂凑 值 进行 签名 得 
Er,[h(M)] ， 然 后 与 M 连接 发 出 。 收 端 则 用 4 的 公 钥 对 En AM) 解密 得 到 h(M)， 再 
与 收 端 自己 由 接收 消息 M' 计 算得 到 的 h(M') 进行 比较 实现 认证 。 

本 方案 提供 了 认证 和 数字 等 名 ， 称 做 签名 -杂凑 方案 (Signature-hashing Scheme)。 这 
一 方案 通过 对 消息 M 的 杂凑 值 签 名 来 代替 对 任意 长 消息 M 本 身 的 签名 ， 大 大 提高 了 签 
名 的 速度 和 有 效 性 。 
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(a) 既 提供 保密 性 ， 又 提供 消息 认证 
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(b) 仅 提供 消息 认证 
M KR, (I M a! i 
比较 
Fxg [HOM)] 


(O 既 提 供 消息 认证 ， 又 提供 数字 签名 


= © - | -9 i xen 
比较 
天 Ex(MIEkr [IH(M)]) K 


Ekg HM) 
(d) 既 提供 保密 性 ， 又 提供 消息 认证 和 数字 签名 
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H(MIS) 
(e) 仅 提供 消息 认证 


ce © | | -O—|4}x20-O, 
比较 
ONO, Kk ExMIAMIS) 天 T 








ES 
































H(M\|S) 
(O 既 提供 保密 人 性， 又 提供 消息 认证 
图 6-6 ”应 用 杂凑 函数 的 基本 方式 


表 6-3 总 结 了 图 6-6 中 所 示 方 法 在 提供 机 密 性 和 认证 方面 的 特点 。 
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表 6-3 杂凑 函数 的 基本 用 途 

格 R 特 点 
EEIE: RA AM BIEK 
提供 认证 : H(M) 受 密码 保护 








(a) 加 密 消息 及 hash 码 | A> B: EM || H(M)] 





b) 加 密 hash 码 : 











A> B:MIE[IHM 趾 供 认证 ，H(M) 受 密 
共享 的 密 钥 > || £, [H(M)] 提供 认 (M) 受 密码 保护 
Co) 加 密 hash 码 : pee N T 提供 认证 和 数字 签名 : H(M) 受 密码 
发 送 方 私 多 ORME HOO | 保护 ， 只 有 4 能 产生 Bo [HOM] 

提供 认证 和 数字 签名 
密 9 结果; 

a mier e2 的 结果 ， ABE (M || Exe [HOO | 提供 机 密 性 只 有 4 和 B 共享 : 只 有 4 
共享 的 密 钥 — 共享 : 只 


Co) 计算 消息 和 秘密 值 的 | 4 _ pe HOMIS) 提供 认证 : 只 有 4 和 8B 共享 5 
hash 码 
供认 证 : 只 有 ee 
CD mie co) 的 结果 。 | aoezi EENE AAS 
SOIREE: FUG ABI BIER K 


64 常用 杂凑 函数 








6.4.1 MD 系列 杂凑 函数 


MD 是 Message Digest Algorithm 的 简写 , MD 系列 杂凑 函数 是 由 MIT 的 Ronald Rivest 
教授 及 其 团队 提出 的 ， 该 系列 杂凑 函数 中 被 广泛 投入 使 用 的 主要 包括 MD-2,MD-4,MD-5 
三 种 算法 。MD-2 即 消息 摘要 算法 第 2 版 ， 依 此 类 推 ，MD-5 即 消息 摘要 算法 第 5 版 。 

Rivest 于 1989 提出 了 MD-2 算法 [Kaliski 等 ，1992]， 该 算法 首先 对 消息 进行 填充 
使 其 字 节 长 度 是 16 的 倍数 ， 随 后 添加 一 个 16 字 节 的 检验 和 ， 再 由 这 个 新 产生 的 消息 进 
行 计 算 。MD-2 的 计算 速度 较 慢 ， 而 且 已 被 Rogier 等 攻破 。 之 后 Rivest 还 提出 了 MD-3 
算法 ， 但 因 其 存在 缺点 ， 从 未 被 使 用 过 。 

Rivest 于 1990 年 提出 MD-4 杂凑 算法 [Rivest 1990a,1992a,1992b]，MD4 算法 输入 
消息 可 任意 长 ， 输 出 为 128 位 。MD-4 也 已 经 被 证 明 是 不 安全 的 ， 但 其 影响 了 之 后 的 杂 
凌 函 数 的 设计 思想 ， 比 如 MD-5, SHA-1 和 RIPEMD 算法 。 

MD-5 是 Rivest 于 1992 年 (Rivest 等 , 1992) 提出 来 的 , 是 MD-4 的 改进 算法 , MD-5 
较 MD-4 复杂 ， 且 较 慢 ， 但 安全 性 较 高 。MD-5 是 目前 被 广泛 使 用 的 杂凑 函数 。 下 面具 
体 介绍 MD-5 算法 ， 其 步骤 如 图 6-7 所 示 。 

(1) 对 明文 输入 按 512b 分 组 ， 最 后 要 进行 填充 使 其 成 为 S12b 的 整数 倍 ， 且 最 后 一 
组 的 后 64b 用 来 表示 消息 长 在 mod2” 下 的 值 K， 故 填充 位 数 为 1 一 512b， 填 充 数字 图 样 
X (1000), 得 五 ,,…, 1，。 其 中 ,二 为 512b， 即 16 个 长 为 32b 的 字 ， 按 字 计 消息 长 
为 N=Lx16。 
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元 128 
32 
ie ai Bi Ch D) 
ABCD" f,(ABCD, Y,, T[1-"-16)) 


at BY CI DY 
ABCD'"f,(ABCD, ¥,, TI17…32]) 


AY BY cf D 
à ABCD" fa(ABCD, Y, 7T[33…48]) ) 


AY B D 
ABCD"f(ABCD, ¥,, 7[49…64]) 












































OOOO Omm 


128 
MD,, 
图 6-7 MD-5 的 一 个 512b 组 的 处 理 ( Hs ) 


(2) 每 轮 输 出 128b， 可 用 下 述 4 个 32b 字 表 示 : 4，B，C，D。 其 初始 存 数 以 十 六 
进 制 表示 为 : 4=01234567，B=89ABCDEF,， C=FEDCBA98, D=76543210. 
G) Hos 的 运算 ， 对 512b (16 P) 组 进行 运算 ， 马 表示 输入 的 第 q 组 的 512b 数 
据 ， 在 各 轮 中 参加 运算 。7[L…,64] 为 64 个 元 素 表 ， 分 4 组 参与 不 同 轮 的 计算 。7[] 为 
2” xabs(Sine(i)) 的 整数 部 分 ，i 是 弧度 。T7[ 国 可 用 32b 二 元 数 表示 ，7 是 32b 随机 数 源 。 
MD-5 是 4 轮 运算 ， 各 轮 罗 辑 函数 不 同 。 每 轮 又 要 进行 16 步 迭 代 运 算 ，4 轮 共 需 64 
步 完 成 。MD-5 的 基本 运算 如 图 6-8 所 示 。 
a 4+ b +CLS; (a + g(B,C,D) + X[k]+7[i]) 
式 中 : 
a,b,c,d = 缓存 器 中 的 4 个 字 ， 按 特定 次 序 变化 。 
8 基本 四 辑 函数 严 ,G, 万 ,7 中 之 一 ， 算 法 的 每 轮 用 其 中 之 一 。 
CLS, =32b 存 数 循环 左 移 s 位 。 
第 1 轮 s={7,12,17,22} 
第 2 轮 s= {5,9,14,20} 
第 3 轮 s= {4,11,16,23} 
第 4 轮 s= {6,10,15, 21} 
X[k] = M[q x16+k]= 消 息 的 第 g 4 512b 组 的 第 上 个 32b Fo 
TEJ = 和 矩阵 了 中 第 i 个 32b 字 。 
十 = 模 232 加 法 。 
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a b 





























[和 (当前 输入 512b 组 的 第 -32-b 字 ) 


TiN 


(E)-O-O-0-O-(- 





L(+) ©: mod 23 加 
图 6-8 MD-5 的 基本 运算 : [abed ks i] 

各 轮 的 逻辑 函数 如 表 6-4 所 示 。 其 中 逻辑 函数 的 真 值 表 如 表 6-5 所 示 。7[i] 由 SINE 
函数 构造 ， 如 表 6-6 所 示 。 每 个 输入 的 32b FRH 4 次 ， 每 轮 用 一 次 ， 而 7[i] 中 每 个 
元 素 恰好 只 用 一 次 。 每 次 4, B, C, D 中 只 有 4 个 字 节 更 新 ， 共 更 新 16 次 ， 在 最 后 第 17 
次 产生 此 组 的 最 后 输出 。 





表 6-4 MD-5 各 轮 的 逻辑 函数 
fe abd) 
i wova) 
fe (-dyv(e-d) 
Sy b@c@d 
£ co-a) 


表 6-5 ”逻辑 函数 的 真 值 表 


























b È d H 了 
0 0 0 0 1 
0 0 1 1 0 
0 1 0 1 0 
0 1 1 0 1 
1 0 0 1 1 
1 0 1 0 1 
1 1 0 0 0 
1 1 1 1 0 
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#66 从 SINE 函数 构造 的 了 表 



































T[1]=D76AA478 T[17|=F61E2562 7[33]=FFFA3942 T[49]=F4292244 
7[2]=E8C7B756 T[18]=C0408340 T[34]=8771F681 T[50]=C32AFF97 
T[3]=242070DB T[19]=265E5A51 T[35]=69D96122 T[51]=AB9423A7 
T[4]=CIBDCEEE T[20]=E9B6C7AA T[36]=FDE5380C T[52]=FC93 A039 
T[5]=F57COFAF T[21]=D62F 105D T[37]=A4BEEA44 T[53]=655B59C3 
T[6]=4787C62A T[22]=02441453 T[38]=4BDECFA9 T[54]=8F0CCC92 
7[7]=A8304613 7T[23]=D8A1E681 7[39]=F6BB4B60 7[55]=FFEFF47D 
7[8]=FD469501 7[24]=E7D3FBC8 7[40]=BEBFBC70 T[56]=85845DD1 
7[9]=698098D8 T[25]=21E1CDE6 T[41]=289B7EC6 T[57]=6FA87E4F 
T[10]=8B44F7AF T[26]=C33707D6 T[42]=EAA127FA T[58]=FE2CE6E0 
7[11]=FFFFSBB1 7|27|=F4D50D87 T[43]=D4EF3085 7[59]=A3014314 
7[12]=895CD7BE 7[28]=455A14ED 7144]=04881D05 7[60]=4E0811A1 
T[13}=6B901122 T[29]=49E3E905 T[45]=D9D4D039 T[61]=F7537E82 
T[14]=FD987193 T[30]=FCEFA3F8 [46]=E6DB99E5T 7[62|=BD3 AF235 
T[15]=A679438E 7[31]=676F02D9 T[47]=1FA27CF8 7[63]-2AD7D2BB 
7[16]=49B40821 7[32]=8D2A4C8A T[48]=C4AC5665 7[64]=EB86D391 


(4) MD, =IV (4, B, C, D 缓存 器 的 初始 矢量 ) 

MD = MD, + fr, fu lY > fol fr YMD, II] 

MD = MD,， (最终 的 杂凑 值 )。 

MD-5 的 安全 性 依赖 于 求 具有 相同 hash 值 的 两 个 消息 在 计算 上 是 不 可 行 的 。MD-5 
的 输出 为 128b, 若 采 用 纯 强 力 攻击 寻找 一 个 具有 给 定 hash 值 的 消息 , 计算 困难 性 为 22 ; 
用 每 秒 可 试验 10? 个 消息 的 计算 机 计算 ， 需 耗 时 1.07x102 年 。 若 采用 生日 攻击 法 ， 寻 找 
有 相同 hash 值 的 两 个 消息 需要 试验 24 个 消息 ， 用 每 秒 可 试验 10? 个 消息 的 计算 机 需 时 
585 年 。 

对 单 轮 MD-5 的 攻击 已 有 结果 。 与 Snefru 相 比 较 ， 两 者 均 为 32b 字 运 算 。Snefru X 
用 S-BOX,XOR 函数 ,MD-5 用 mod2” 加 。 对 MD-4 的 攻击 , 可 参阅 [Biham 1992; Vaudenary 
1995; Dobbertin 1996]. Dobbertin 对 MD-4 的 攻击 计算 复杂 度 为 0(2”)。 对 MD-4 与 
MD-5 的 攻击 ， 可 参阅 相关 文献 [den Boer 等 1993]。 

2004 年 8 月 17 日， 在 美国 加 州 圣 巴巴 拉 召 开 的 美 密会 (Crypto 2004) 上 ， 中 国 的 
王小云 、 冯 登 国 、 来 学 嘉和 于 红 波 4 位 学 者 宣布 ， 只 需 一 小 时 就 可 找 出 MD-5 的 碰撞 。 
此 研究 成 果 引 起 了 密码 学 界 的 强烈 反响 ， 国 际 密 码 专家 称 这 是 密码 学 界 近 年 来 “最 具 实 
质 性 的 研究 进展 ”。 

虽然 MD-5 算法 已 经 不 再 使 用 ， 但 其 设计 思想 仍然 对 设计 新 的 杂凑 函数 具有 一 定 的 
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6.4.2 SHA 系列 杂凑 函数 


SHA 是 Secure Hash Algorithm 的 简写 ， 即 安全 杂凑 函数 ， 是 美国 国家 标准 技术 研究 
所 (NIST) 发 布 的 国家 标准 中 所 规定 的 一 系列 杂凑 函数 算法 ， 其 既 可 用 于 数字 签名 标准 
算法 (Digital Signature Standard，DSS )， 也 可 用 于 其 他 需要 用 hash 算法 的 场景 [FIPS 180 
1993, FIPS 180-1 1993]， 具 有 较 高 的 安全 性 。SHA 系列 算法 有 SHA-0、SHA-1 和 SHA-2 
构成 ，SHA-0 是 1993 年 RSA 公司 提出 的 MD-5 的 改进 算法 ， 并 被 作为 美国 国家 标准 使 
用 ，SHA-0 继承 了 MD-5 结构 清晰 、 运 算 简单 快速 的 优点 ， 但 提出 后 不 久 就 被 发 现 其 算 
法 的 漏洞 ， 于 是 在 1994 年 进行 了 改进 ， 成 为 SHA-1 算法 。2002 年 NIST 又 根据 实际 情 
况 增加 3 种 杂凑 函数 算法 ， 并 根据 其 输出 长 度 的 不 同 分 别 命名 为 SHA-256、SHA-384 和 
SHA-512 算法 ， 统 称 为 SHA-2 算法 。 

由 于 近年 来 对 现 有 杂凑 算法 的 成 功 攻击 ，NIST 在 2007 年 正式 宣布 在 全 球 范围 内 征 
集 新 的 下 一 代 杂 凑 密 码 算法 ， 经 过 多 轮 盘 选 ， 于 2012 年 10 月 公布 了 新 一 代 杂 凑 算 法 标 
准 一 Keccak， 即 SHA-3 算法 。 

下 面 介绍 SHA 算法 的 具体 实现 过 程 。 

SHA 的 基本 框架 与 MD-4 类 似 。 消 息 经 填充 成 为 512b 的 整数 倍 。 填 充 先 加 “1”，, 
后 跟 许多 “0”， 且 最 后 64b 表示 填充 前 消息 长 度 ，( 故 填充 值 为 1~512b)。 以 5 个 32b 变 
量 作为 初始 值 〈 十 六 进 制 数 表示 ): 4=67 45 23 01, B=EF CD AB 89, C=98 BA DC FE, 
D=1032 5476, E=C3 D2 El F0. 


1. ERB 
消息 五 ,了 …, 卫 为 512b 分 组 ， 每 组 有 16 个 32b 字 ， 每 送 入 512b， 先 将 4,B,C,D,E 
=> AA, BB,CC,DD,EE , HÍT 4 IKAR, 每 轮 完成 20 个 运算 ， 每 个 运算 对 A, B,C, D,E 中 
的 3 个 进行 非 线性 运算 ， 然 后 做 移 位 运算 〈 类 似 于 MD-5)， 运 算 如 图 6-9 所 示 。 每 轮 有 
一 常数 Kt， 实 际 上 仅 用 4 个 常数 ， 即 
0<1<19 ~~ Kt =5A827999 
20<t<39 Kt=6ED9EBAI 
40<1+<59 Kt=8FIBBCDC 
60<t<79 Kt=CA62CID6 
各 轮 的 基本 运算 如 表 6-7 所 示 。 
表 6-7 SHA 各 轮 的 基本 运算 


















































轮 fi (B.C.D) 
0<<19 (BeC)V(BeD) 
2051539 B®C®D 
40<1<59 (Be Ov(B*D)VC*D) 
60<1<79 B@C@D 
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图 6-9 SHA # 512b 组 的 处 理 














2. SHA 的 基本 运算 
SHA 的 基本 运算 如 图 6-10 所 示 。 每 轮 基本 运算 如 下 : 
A,B,C,D,E <(CLS,(A) + f,(B,C,D) + E +W, + K,),A,CLS,)(B),C,D 

其 中 ，4,B,C,D,E 为 5 个 32b 存储 单元 (H 160b); 

t HERG OX<t<79; 

Se SEAL HE PBL K 6-7 所 示 ); 

CLS,: 左 循环 移 s 位 ; 

Wi: 由 当前 输入 导出 ， 为 一 个 32b F; 

K,: 上 述 定义 常数 ; 

十 :mod232 加; 

W,=M, iA RAMEE), O<t<15; 

W, =W, XORW, :XORW, \,XORW, 6» 
16<t<79. 

图 6-11 为 从 输入 的 16 个 32b 字 变 换 成 处 理 所 AjB| cCjDJ|E 
需 的 80 个 32b 字 的 方法 : 图 6-10 SHA 的 基本 运算 框图 

MD, =IV, ABCD 为 缓存 器 的 初始 值 。 

MD,,, =SUM;,(MD,,ABCDE,), ， 其 中 ，ABCDE, 是 上 一 轮 第 q 消息 组 处 理 输出 的 
BER, SUM, 是 对 输入 按 字 分 别 进行 mod2” 加 。 

MD = MD, ,， 工 是 消息 填充 后 的 总 组 数 。MD 是 最 后 的 杂凑 值 。 
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图 6-11 SHA 处 理 一 个 输入 组 时 产生 的 80 个 32b F 


SHA 与 MD-4 很 相似 ， 主 要 变化 是 增加 了 扩展 变换 ， 将 前 一 轮 的 输出 加 到 下 一 轮 ， 
以 加 速 雪 崩 效 应 。SHA 与 重新 设计 的 MD-5 的 差别 较 大 。 

R.L.Rivest 公开 了 MD-5 的 设计 决策 ， 但 SHA 的 设计 者 则 不 愿 公开 其 设计 。 下 面 介 
绍 MD-5 对 MD-4 的 改进 ， 并 与 SHA 进行 比较 。 

(1) MD-5“ 增 加 第 4 轮 ” SHA 也 这 样 做 了 ; 但 SHA 第 4 轮 的 轮 函 数 与 第 2 轮 的 
轮 函数 一 样 。 

(2) MD-5 的 “每 个 组 都 有 唯一 的 加 常数 ” 而 SHA 保持 MD-4 方案 ， 对 20 轮 的 每 
组 重复 使 用 其 常数 。 

(3) “为 了 减少 对 称 性 ，MD-5 在 第 2 轮 中 的 函数 g 从 (XY or XZ orYZ) 变 为 (XZ 
orYnot (Z))” 而 SHA 采用 MD-4 文 本 (XY or XZ or YZ). 

(4) MD-5 的 每 步 都 与 前 一 步 的 结果 相 加 ， 这 使 雪崩 效应 “更 快 ”， 在 SHA 中 做 了 
相同 改动 ， 不 同 点 是 SHA 中 增加 了 第 5 个 变量 ， 且 不 是 f 中 己 采 用 的 B,C 或 D, 这 个 
小 小 变化 使 den Boer-Bosselaers 对 MD-5 的 攻击 方法 对 SHA 无 效 。 

(5) MD-5“ 在 第 2 轮 、 第 3 轮 中 接收 输入 数据 的 次 序 有 变动 ， 使 得 这 些 图 样 之 间 彼 
此 不 相同 ” SHA 则 完全 不 同 ， 因 其 用 了 循环 纠 错 码 。 

(6) MD-5“ 每 一 轮 的 移 位 次 数 接近 于 最 佳 ， 以 产生 较 快 的 雪崩 效 应 ,不 同 轮 的 移 位 
次 数 不 相 同 ” SHA 中 每 轮 的 移 位 量 不 变 ， 移 位 次 数 与 字 长 互 素 ， 这 与 MD-4 相同 。 

SHA 逻辑 函数 的 真 值 表 如 表 6-8 所 示 。 

#6-8 SHA 逻辑 函数 的 真 值 表 





Sro-39 S059 S60--79 
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SHA 45 MD-4, MD-5 的 比较 如 表 6-9 所 示 。 
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表 6-9 SHA 与 MD-4、MD-5 的 比较 

MD-4 SHA MD-5 
杂凑 值 128b 160b 128b 
分 组 处 理 长 512b 512b 512b 
基本 字 长 32b 32b 32b 
步 数 48( 3 X 16) 80(4 X20) 64 (4X16) 
消息 长 <2 <2 不 限 
基本 逻辑 函数 3 3 (382, 4 轮 相同 ) 4 
常数 个 数 3 4 64 
速度 约 为 MD-4 的 3/4 约 为 MD-4 的 17 





总 之 ， 它 们 之 间 的 比较 可 简单 地 表示 如 下 : 
SHA=MD-4 十 扩展 变换 十 外 加 一 轮 十 更 好 的 雪崩。 


MD-5=MD-4 十 改进 的 比特 杂凑 十 外 加 一 轮 十 更 好 的 雪崩。 





2005 年 2 月 ， 王 小 云 等 学 者 在 SHA-1 的 破译 工作 方面 取得 了 突破 性 的 进展 ， 证 明 
SHA-1 的 碰撞 可 以 在 2” 次 运算 后 找 出， 而 不 是 之 前 大 家 普遍 预期 的 2” 次 运算 。 同 年 ， 


王小云 团队 改进 了 算法 ， 已 令 尝 试 次 数 减少 至 29。 
6.4.3 ”中 国 商 用 杂凑 函数 SM3 


SM3 杂凑 函数 是 中 国 国家 密码 管理 局 于 2010 年 颁布 的 一 种 商用 密码 杂凑 函数 ， 消 
息 分 组 512 比特 ， 输 出 杂凑 值 256 比特 ， 采 用 Merkle-Damgard 结构 。SM3 密码 杂凑 算 
法 的 压缩 函数 与 SHA-256 的 压缩 函数 具有 相似 的 结构 ， 但 SM3 压缩 函数 的 结构 和 消息 


拓展 的 过 程 都 更 加 复杂 。 
1. 符号 、 常 量 与 函数 
SM3 Avs PA BE T AFE S 
(1) 符号 
ABCDEFGH: 8 个 字 寄存 器 或 它们 的 值 的 串联 
Bo: 第 i 个 消息 分 组 
CF: 压缩 函数 
FF}: 布尔 函数 ， 随 j 的 变化 取 不 同 的 表达 式 
GG: 布尔 函数 ， 随 j 的 变化 取 不 同 的 表达 式 
IV: 初始 值 ， 用 于 确定 压缩 函数 寄存 器 的 初 态 
R: 压缩 函数 中 的 置换 函数 
R 
T, 


常数 与 函数 。 





: 消息 扩展 中 的 置换 函数 

: 常量 ， 随 7 的 变化 取 不 同 的 值 
: 消息 

': 填充 后 的 消息 

mod : 模 运算 
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: 32 比特 与 运算 
: 32 比特 或 运算 
: 32 比特 异 或 运算 
一 : 32 比特 非 运算 
+: mod 23 算术 加 运算 
<<<k: TRER k 比特 运算 
S: 左 向 赋值 运算 符 
(2) 初始 值 
IV ere 172442d7 da8a0600 a96f30be 163138aa e38dee4d bOfb0e4e 
(3) 常 
{ ies 0<j<15 
$ 


®< > 


7a879d8a 16< j <63 

(4) 布尔 函数 

A XB7@Z 0<j<15 

materz)-| (XAY)v(XAZ)v(YAZ) 16<j<63 
X®Y®Z 0<j<15 
(XAY)v(-XAZ) 16<j<63 


IUP X, 了 2Z 为 32 位 比特 串 。 

(5) 置换 函数 

Po(X)=X @(X¥<<<9) @(X<<<17) 

P\(X)=X ®(X<<<15) ®(X¥<<<23) 
式 中 XX 为 32 位 比特 串 。 

2. 算法 描述 

对 长 度 为 1(0<259 比 特 的 消息 m, SM3 杂凑 算法 经 过 填充 和 迭代 压缩 , 生成 杂凑 值 ， 
杂凑 值 长 度 为 256 比特 。 

(1) 填充 

假设 消息 m 的 长 度 为 1 比特。 首先 将 比特 “1” 添 加 到 消息 的 末尾 , 再 添加 个 “0”， 
k 是 满足 1+ 1+k 三 448 mod 512 的 最 小 的 非 负 整数 。 然 后 再 添加 一 个 64 位 比特 串 ， 该 
比特 串 是 长 度 1 的 二 进 制 表示 。 填 充 后 的 消息 m 的 比特 长 度 为 512 的 倍数 。 

例如 : 对 消息 01100001 01100010 01100011， 其 长 度 1= 24， 经 填充 得 到 比特 串 : 

423 比 特 64 比 特 


01100001 01100010 01100011 1 00---00 00---011000 
—— 
1 的 二 进 制 表示 


cox12)-| 





(2) 迭代 压缩 
将 填充 后 的 消息 m' 按 512 比特 进行 分 组 ， 和 迭代 过 程 如 下 : 
m'=B8® B® ... Be 
其 中 , n= (1+k+65)/512. 
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HY HEL. Be HEAR: 
FORi=0TOn-1 
ve) = cr(V,B°) 


ENDFOR 
其 中 ，CF EAB, VOW 256 比特 初始 值 IV，B9@ 为 填充 后 的 消息 分 组 ， 和 迭代 压缩 
的 结果 为 中。 

(3) 消息 扩展 

将 消息 分 组 BO 按 以 下 方法 扩展 生成 132 个 字 Wo Wi, Wen We Wi, Who I 
于 压缩 函数 CF: 

a) 将 消息 分 组 BO 划分 为 16 个 字 Wo, Wi, oo, Wise 

b) 

FOR j= 16TO 67 

W, — R (Was ® W,- ® (Ws <<<15)) © (Ws <<< 7) OW, 


j j-6 

















ENDFOR 
(4) 压缩 函数 
4 A, B, C, D, E, F, G, H 为 字 寄 存 器 , SS1, SS2, TT1, TT2 为 中 间 变量 , 压缩 函数 y 
=CF(V®, B®), 0<i<m-1。 计 算 过 程 描述 如 下 : 
ABCDEFGH -VO 
FOR j= 16 TO 63 
SSI <((4 <<< 12)+ E+(T, <<< i))<<<7 
SS2 << SSI® (A <<< 12) 
TTI < FF, (4,B,C)+D+SS2+W; 
TT2<GG,(E,F,G)+H +SS1+W, 


HOG 
G & F <<<19 
Fee 
E + R (TT2) 
ENDFOR 
v — ABCDEFGH @V 
其 中 ， 字 为 32 位 比特 串 ， 存 储 为 大 端 (big-endian) 格 式 。 大 端 格式 是 数据 在 内 存 中 的 一 种 
存储 格式 ， 规定 左边 为 高 有 效 位 ， 右边 为 低 有 效 位 ， 数 的 高 位 字 节 置 于 存储 器 的 低地 址 ， 
数 的 地 位 字 节 放 在 存储 器 的 高 地 址 。 
(5) 杂凑 值 





ABCDEFGH «4 V”) 
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输出 256 ERFIR É y = ABCDEFGH. 

(6) 示例 

为 了 推广 应 用 SM3 算法 ， 中 国 国 家 密码 管理 局 在 颁布 SM3 杂凑 函数 算法 的 同时 ， 
也 给 出 了 SM3 的 实现 示例 以 及 各 步骤 中 的 详细 值 。 感 兴趣 的 读者 可 从 网 络 地址 
http://www.oscca.gov.cn/News/201012/News_1199.htm 获取 相关 实例 信息 。 

(7) 安全 性 分 析 

就 压缩 函数 而 言 ，SM3 密码 杂凑 函数 与 SHA-256 具有 相似 的 结构 ， 但 是 SM3 算法 
的 压缩 函数 的 每 一 步 都 使 用 2 个 消息 字 ， 每 一 步 的 扩散 能 力 更 强 。 由 于 SM3 算法 的 快 
速 扩散 能 力 ， 完 整 的 SM3 算法 仍 具 有 抵抗 各 种 已 知 攻击 的 能 力 ， 具 有 非常 高 的 安全 性 。 


6.5 HMAC 




















前 面 介绍 了 采用 对 称 分 组 密码 的 消息 认证 码 (MAC)， 即 FIPS PUB 113 中 定义 的 消 
息 认 证 算法 ， 该 算法 是 构造 MAC 的 最 常用 方法 。 近 年 来 ， 人 们 对 利用 密码 杂凑 函数 来 
设计 MAC 越 来 越 感 兴趣 ， 因 为 : 

(1) 一 般 像 MD-5 和 SHA 系列 的 杂凑 函数 ， 其 软件 执行 速度 比 DES 这 样 的 对 称 分 
组 密码 要 快 。 

(2) 可 利用 密码 杂凑 函数 代码 库 。 

G) 美国 或 其 他 国家 对 密码 杂凑 函数 没有 出 口 限 制 ， 而 对 于 即使 用 于 MAC 的 对 称 
分 组 密码 都 有 出 口 限 制 。 

MD-5 这 样 的 杂凑 函数 并 不 是 专门 为 MAC 而 设计 的 。 由 于 杂凑 函数 不 依赖 于 密 钥 ， 
所 以 它 不 能 直接 用 于 MAC。 目 前 ， 将 密 钥 加 入 到 现 有 杂凑 函数 中 有 许多 方案 ，HMAC 
(RFC 2104) 是 最 受 欢 迎 的 方案 之 一 [Bellare 等 1996a，1996b]， 它 被 选 为 IP 安全 中 实现 
MAC 所 必须 使 用 的 方法 ， 并 且 其 他 因特网 协议 中 (如 SSL) 也 使 用 了 HMAC. HMAC 
目前 已 经 作为 RFC2104 草案 公布 。 


6.5.1 HMAC 的 设计 目标 


RFC 2104 给 出 了 HMAC 的 设计 目标 : 

CL) 可 不 经 修改 而 使 用 现 有 的 杂凑 函数 ， 特 别 是 那些 易于 软件 实现 的 、 源 代码 可 方 
便 获 取 且 免费 使 用 的 杂凑 函数 。 

(2) 其 中 镶嵌 的 杂凑 函数 可 易于 替换 为 更 快 或 更 安全 的 杂凑 函数 。 

G) 保持 镶嵌 的 杂凑 函数 的 最 初 性 能 ， 不 因 用 于 HMAC 而 使 其 性 能 降低 。 

(4) 以 简单 方式 使 用 和 处 理 密 钥 。 

(5) 在 对 灸 嵌 的 杂凑 函数 合理 假设 的 基础 上 ， 易 于 分 析 HMAC 用 于 认证 时 的 密码 
强度 。 

前 两 个 目标 是 HMAC 为 人 们 所 接受 的 重要 原因 。HMAC 将 杂凑 函数 看 成 是 “ 黑 匣 
子 ” 有 两 个 好 处 。 第 一 ,实现 HMAC 时 可 将 现 有 杂凑 函数 作为 一 个 模块 ， 这 样 可 以 对 许 
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多 HMAC 代码 预先 封装 ， 并 在 需要 时 直接 使 用 ， 第 二 ， 若 希望 蔡 代 HMAC 中 的 杂凑 函 
数 ， 则 只 需要 删 去 现 有 的 杂凑 函数 模块 ， 并 加 入 新 的 模块 。 例 如 ， 当 需要 更 快 的 杂凑 函 
数 时 就 可 如 此 处 理 。 更 重要 的 是 ， 如 果 嵌 入 的 杂凑 函数 的 安全 受到 威胁 ， 那 么 只 需要 用 
更 安全 的 杂凑 函数 替换 伐 入 的 杂凑 函数 (如 用 SHA-1 ER MD-5)， 仍 然 可 保持 HMAC 
的 安全 性 。 

上 述 最 后 一 个 设计 目标 实际 上 是 HMAC 优 于 其 他 基于 杂凑 函数 的 一 些 方法 的 主要 
方面 。 只 要 嵌入 的 杂凑 函数 有 合理 的 密码 分 析 强 度 ， 则 可 以 证 明 HMAC 是 安全 的 。 

关于 一 些 MAC 的 新 构造 法 可 参阅 相关 文献 [Bellare 等 1996a; Krawczyk 1995]， 对 
流 密码 的 认证 性 研究 可 参阅 相关 文献 [Desmedt 1985; Lai 等 1992]. 


6.5.2 ”算法 描述 


图 6-12 是 HMAC 算法 的 运行 框图 ， 其 中 瓦 为 嵌入 的 杂凑 函数 (如 MD-5 和 SHA)， 
M J HMAC 的 输入 消息 (包括 杂 凌 函数 所 要 求 的 / 
HERD), Yy (OSi<L-1) MANS IAAL, ipad 
L jè M 的 分 组 数 ， 是 一 个 分 组 中 的 比特 数 ，n 




























































































为 有 迁 入 的 杂凑 函数 所 产生 的 杂 凌 值 的 长 度 ,， 天 bbit。_bbit =P bit, 
为 密 钥 ， 如 果 密 钥 长 度 大 于 bp， 则 将 密 钥 输入 到 Si 加 Hoyo LM 
杂凑 函数 中 产生 一 个 比特 长 的 密 钥 , KEA vam ra 
经 填充 0 后 的 K,， K* 的 长 度 为 n 比特 , ipad 为 b/8 opad El 
个 00110110，opad 为 b/8 个 01011010. psym) 
算法 的 输出 可 表示 如 下 : T 填充 到 bbit 
HMAC, = H((K* © opad) || H((K* ® ipad) || M)) | 
算法 的 运行 过 程 可 描述 如 下 : So 
CI) 大 的 左边 填充 0 以 产生 一 个 5 比特 长 的 。 stn. 
K* (例如 KK 的 长 为 160 比特 ，b=512， 则 需 填充 i 
44 个 0 字 节 0x00)。 HMACA(M) 
a (2) K* 5j ipad 逐 比特 异 或 以 产生 b 比特 的 图 6-12 HMAC 的 算法 框图 
分 组 8 。 


G) 将 MM 连接 到 S, 后 。 

(4) 将 互 作用 于 步骤 G) 产生 的 数据 流 。 

(5) K* 5 opad 逐 比 特异 或 以 产生 b 比特 的 分 组 Su 。 

(6) 将 步骤 (4) 得 到 的 杂凑 值 连接 在 S, 后。 

(7) H AEF ER (6) 产生 的 数据 流 并 输出 最 终结 果 。 

YER, K* 与 ipad 逐 比特 异 或 以 及 Kt: 与 opad 逐 比 特异 或 的 结果 是 将 天 中 的 一 半 比 
特 取 反 ,但 两 次 取 反 的 比特 位 置 不 同 。 而 S, 和 5 通过 杂凑 函数 中 压缩 函数 的 处 理 ， 则 相 
当 于 以 伪 随 机 方式 从 天 产生 两 个 密 钥 。 

在 实现 HMAC 时 ， 可 预先 求 出 下 面 两 个 量 〈 如 图 6-13 所 示 ， 虚 线 以 左 为 预计 算 ); 
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f(IV,(K* @ ipad)) 
其 中 ，f(cv,block) 是 杂凑 函数 中 的 压缩 函数 ， 其 输入 是 n 比特 的 链接 变量 和 b 比特 的 分 
组 ， 输 出 是 n 比特 的 链接 变量 。 这 两 个 量 的 预先 计算 只 在 每 次 更 改 密 钥 才 需 进行 。 事 实 
上 这 两 个 预先 计算 的 量 用 于 作为 杂凑 函数 的 初 值 IV。 
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图 6-13 HMAC 的 有 效 实现 
6.5.3 HMAC 的 安全 性 


基于 密码 杂凑 函数 构造 的 MAC 的 安全 性 取决 于 镶嵌 的 杂凑 函数 的 安全 性 ， 而 
HMAC 最 吸引 人 的 地 方 是 它 的 设计 者 已 经 证 明了 算法 的 强度 和 嵌入 的 杂凑 函数 的 强度 
之 间 的 确切 关系 ， 证 明了 对 HMAC 的 攻击 等 价 于 对 内 棋 杂 次 函数 的 下 述 两 种 攻击 之 一 : 

(1) 攻击 者 能 够 计算 压缩 函数 的 一 个 输出 ， 即 使 IV 是 随机 的 和 秘密 的 。 

(2) 攻击 者 能 够 找 出 杂凑 函数 的 碰撞 ， 即 使 IV 是 随机 的 和 秘密 的 。 

在 第 一 种 攻击 中 , 可 将 压缩 函数 视 为 与 杂凑 函数 等 价 , 而 杂凑 函数 的 n 比特 长 IV 可 
视 为 HMAC 的 密 钥 。 对 这 一 杂凑 函数 的 攻击 可 通过 对 密 钥 的 穷 搜索 来 进行 , 也 可 通过 第 
二 类 生日 攻击 来 实施 ， 通 过 对 密 钥 的 穷 搜 索 攻 击 的 复杂 度 为 O(2" )， 通 过 第 二 类 生日 攻 
击 又 可 归结 为 上 述 第 二 种 攻击 。 

第 二 种 攻击 指 攻击 者 寻找 具有 相同 杂凑 值 的 两 个 消息 ， 因 此 就 是 第 二 类 生日 攻击 。 
对 杂凑 值 长 度 为 款 的 杂凑 函数 来 说 ， 攻 击 的 复杂 度 为 0(2”)。 因 此 第 二 种 攻击 对 MD-5 
的 攻击 复杂 度 为 0(2”), 就 现在 的 技术 来 说 , 这 种 攻击 是 可 行 的 。 但 这 是 否 意味 着 MD-5 
不 适合 用 于 HMAC? 回答 是 否定 的 。 原 因 如 下 : 攻击 者 在 攻击 MD-5 时 ， 可 选择 任何 消 
息 集 合 后 离线 寻找 碰撞 。 由 于 攻击 者 知道 杂凑 算法 和 默认 的 IV， 因 此 能 为 自己 产生 的 每 
个 消息 求 出 杂凑 值 。 然 而 ,在 攻击 HMAC 时 由 于 攻击 者 不 知道 密 钥 KK， 从 而 不 能 离线 产 
生 消息 和 认证 码 对 。 所 以 攻击 者 必须 得 到 HMAC 在 同一 密 钥 下 产生 的 一 系列 消息 , 并 对 
得 到 的 消息 序列 进行 攻击 。 对 长 128 比特 的 杂凑 值 来 说 ， 需 要 得 到 同一 密 钥 产生 的 24 个 




















186 


mus 第 6 章 消息 认证 与 杂凑 函数 MO 





分 组 (22 ) 比特 。 在 1Gb/s 的 链 路 上 ， 需 要 250 000 年 ,因此 MD-5 完全 适合 于 HMAC, 
而 且 就 速度 而 言 ，MD-5 要 快 于 SHA 作为 内 嵌 的 杂凑 函数 的 HMAC [William 2006]. 
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一 、 填 空 题 

1. 可 以 用 来 产生 认证 符 的 函数 类 型 可 分 为 3 类 ， 分 别 为 、 和 

2. 消息 加 密 本 身 提 供 了 一 种 认证 手段 。 应 用 于 消息 加 密 的 两 种 体制 分 别 
是 和 。 

3. 消息 认证 码 又 称 ,也 是 一 种 ， 它 利用 来 生成 
并 将 其 附加 在 消息 后 。 

4. 杂凑 函数 的 性 质 : 、 和 

5. 消息 认证 码 的 函数 形式 是 ， 其 中 , M 是 Ke » CKM) 




















是 





6. 迭代 杂凑 函数 的 构造 方法 : x ‘ 和 
7. MDS 的 实现 : (1) : 用 32b 软件 易于 高 速 实现 。(2) : 描述 
简单 ， 短 程序 可 实现 ， 易 于 对 其 安全 性 进行 评估 。(3) 

8. 美国 NIST 和 NSA 设计 的 一 种 标准 算法 ， 既 可 用 于 ， 也 可 用 于 
其 他 需要 用 算法 的 情况 。 

9. 是 中 国 国家 密码 管理 局 于 2010 年 颁布 的 一 种 商用 密码 杂凑 函数 , 该 算法 
消息 分 组 为 ， 输 出 杂凑 值 长 度 为 ， 采 用 结构 。 

10. RFC2104 给 出 了 HMAC 的 设计 目标 : (1) 可 不 经 修改 而 使 用 现 有 的 
特别 是 那些 易于 、 源 代码 可 方便 获取 且 免 费 使 用 的 a @) ; 
(3) , (4) » (5) 在 对 镶嵌 的 杂凑 函数 合理 假设 的 基础 上 ， 

11. HMAC 最 吸引 人 的 地 方 是 它 的 设计 者 已 经 证 明了 和 之 间 的 确 
切 关系 , 证 明了 对 HMAC 的 攻击 等 价 于 对 的 下 述 两 种 攻击 之 一 : (1) 
(2) 

















思考 题 
什么 是 消息 认证 码 (MAC) ? 它 与 消息 杂凑 值 的 主要 区 别 是 什么 ? 
2. 什么 是 算 改 检测 码 (MDC) ? MDC 是 如 何 产生 和 怎样 使 用 的 ? 消息 认证 码 
(MAC) 是 MDC 吗 ? (消息 的 ) 数字 签名 是 MDC 吗 ? 
3. 说 明 消 息 认 证 码 的 基本 用 途 。 
4. 杂凑 函数 具有 哪些 性 质 ? 
. 列举 迭代 杂凑 函数 的 构造 方法 。 
. 为 什么 说 杂凑 函数 实际 上 是 不 可 道 的 ? 


i: 
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7. 对 称 和 非 对 称 数 据 完整 性 技术 的 主要 区 别 是 什么 ? 

8. 设 杂 凑 函 数 的 输出 空间 大 小 为 2160b， 找 到 该 杂凑 函数 碰撞 所 花费 时 间 期 望 值 是 
什么 ? 

9. 比较 MD-4，MD-5，SHA 及 SM3 的 异同 点 。 

10. 什么 是 HMAC? HMAC 的 设计 目标 是 什么 ? 
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数字 签名 在 身份 认证 、 数 据 完 整 性 、 不 可 和 否认 性 以 及 匿名 性 等 信息 安全 领域 中 有 重 
要 应 用 ， 特 别 是 在 大 型 网 络 安全 通信 中 的 密 钥 分 配 、 认 证 ， 以 及 电子 商务 系统 中 发 挥 着 
重要 作用 。 数 字 签 名 是 实现 认证 的 重要 工具 。 本 章 介 绍 数字 签名 的 基本 概念 ， 以 及 各 种 
常用 的 数字 签名 体制 ， 如 RSA，ElGamal，Schnorr，DSS 和 SM2 等 签名 体制 。 此 外 ， 还 
要 介绍 一 些 特殊 用 途 的 数字 签名 ， 如 不 可 否认 签名 、 防 失败 签名 、 盲 签名 和 群 签名 等 。 


TES] 数字 签名 基本 概念 

















政治 、 军 事 、 外 交 等 文件 、 命 令 和 条 约 ， 商 业 契 约 以 及 个 人 书信 等 ， 传 统 上 采用 手 
书签 名 或 印章 ， 以 便 在 法 律 上 能 认证 、 核 准 、 生 效 。 随 着 计算 机 通信 网 的 发 展 ， 人 们 和 希 
望 通过 电子 设备 实现 快速 、 远 距离 的 交易 ， 数 字 (或 电子 〉 等 名 法 应 运 而 生 ， 并 开始 用 
于 商业 通信 系统 ， 如 电子 邮递 、 电 子 转账 和 办 公 自 动 化 等 系统 。 

类 似 于 手书 签名 ， 数 字 签名 也 应 满足 以 下 要 求 ; 

(1) 收 方 能 够 确认 或 证 实 发 方 的 签名 ， 但 不 能 伪造 ， 简 记 为 R1- 条 件 。 

(2) 发 方 发 出 签名 的 消息 给 收 方 后 , 就 不 能 再 否认 他 所 签发 的 消息 , 简 记 为 S- 条 件 。 

G) 收 方 对 已 收 到 的 签名 消息 不 能 和 否认， 即 有 收报 认证 ， 简 记 为 R2- 条 件 。 

C4) 第 三 者 可 以 确认 收发 双方 之 间 的 消息 传送 ， 但 不 能 伪造 这 一 过 程 ， 简 记 为 
工 条 件 。 

数字 签名 与 手书 签名 的 区 别 在 于 ， 手 书签 名 是 模拟 的 ， 且 因 人 而 异 。 数 字 签 名 是 0 
和 1 的 数字 串 ， 因 消息 而 异 。 数 字 签 名 与 消息 认证 的 区 别 在 于 ， 消 息 认证 使 收 方 能 验证 
消息 发 送 者 及 所 发 消息 内 容 是 否 被 自 改 过 。 当 收 、 发 者 之 间 没有 利害 冲突 时 ， 这 对 于 防 
止 第 三 者 的 破坏 来 说 是 足够 了 。 但 当 收 者 和 发 者 之 间 有 利害 冲突 时 ， 单 纯 用 消息 认证 技 
术 就 无 法 解决 他 们 之 间 的 纠纷 ， 此 时 须 借助 满足 前 述 要 求 的 数字 签名 技术 。 

为 了 实现 签名 目的 ， 发 方 必须 向 收 方 提供 足够 的 非 保 密 信息 ， 以 便 使 其 能 验证 消息 
的 签名 ;但 又 不 能 泄漏 用 于 产生 签名 的 机 密 信 息 ， 以 防 他 人 伪造 签名 。 因 此 ， 签 名 者 和 
证 实 者 可 公用 的 信息 不 能 太 多 。 任 何 一 种 产生 签名 的 算法 或 函数 都 应 当 提供 这 两 种 信息 ， 
而 且 从 公开 的 信息 很 难 推测 出 用 于 产生 签名 的 机 密 信息 。 此 外 ， 任 何 一 种 数字 的 实现 都 
有 赖 于 仔细 设计 的 通信 协议 。 

数字 签名 有 两 种 : 一 种 是 对 整体 消息 的 签名 ， 它 是 消息 经 过 密码 变换 的 被 签 消息 整 
体 ; 一 种 是 对 压缩 消息 的 签名 ， 它 是 附加 在 被 签名 消息 之 后 或 某 一 特定 位 置 上 的 一 段 签 
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名 图 样 。 若 按 明 、 密 文 的 对 应 关系 划分 ， 每 种 又 可 分 为 两 个 子 类 : 一 类 是 确定 性 
(deterministic) 数字 签名 ， 其 明文 与 密 文 一 一 对 应 ， 它 对 一 特定 消息 的 签名 不 变化 ， 如 
RSA 和 Rabin 等 签名 ; 另 一 类 是 随机 化 〈randomized) 或 概率 式 数字 签名 ， 它 对 同一 消 
息 的 签名 是 随机 变化 的 ， 取 决 于 签名 算法 中 的 随机 参数 的 取 值 。 一 个 明文 可 能 有 多 个 合 
法 数字 签名 ， 如 ElGamal 等 签名 。 

一 个 签名 体制 一 般 含 有 两 个 组 成 部 分 : 签名 算法 (Signature Algorithm) 和 验证 算法 
(Verification Algorithm). Xf m 的 签名 可 简 记 为 Sig(m) = o, TX o 的 验证 简 记 为 
Ver(a')={ 真 ， 伪 }={0，1}。 签 名 算法 或 签名 密 钥 是 秘密 的 ， 只 有 签名 人 掌握 ; 验证 算法 
应 当 公开 ， 以 便于 他 人 进行 验证 。 

一 个 签名 体制 可 由 量 (M，S，K，V) 组 成 ， 其 中 M 是 明文 空间 ，S 是 签名 的 集合 ， 
K 是 密 钥 空 间 ，V 是 验证 函数 的 值 域 ， 由 真 、 伪 组 成 。 

对 于 每 一 个 keK 有 一 签名 算法 ， 易 于 计算 : 

o' =Sig,(m)eS (7-1) 
和 一 验证 算法 : 
Ver(m,o')e{ 真 ， 伪 } (7-2) 
它们 对 每 一 me M ， 有 等 名 Sigi(m)eS (为 M >S 的 映射 )。(m，o') 对 易于 验证 S 是 
A m 的 签名 : 
IL, 4 o =Sig(m) 
th. “io #Sig(m) 

体制 的 安全 性 在 于 ， 从 m 和 其 签名 a’ 难于 推出 或 伪造 一 个 m'， 使 mw 和 o' 可 被 证 

消息 签名 与 消息 加 密 有 所 不 同 。 消 息 加 密 和 解密 可 能 是 一 次 性 的 ， 它 要 求 在 解密 之 
前 是 安全 的 ， 而 一 个 签名 的 消息 可 能 作为 一 个 法 律 上 的 文件 ， 如 合同 等 ， 很 可 能 在 对 消 
息 签 署 多 年 之 后 才 验 证 其 签名 ， 且 可 能 需要 多 次 验证 此 签名 。 因 此 ， 人 们 对 签名 的 安全 
性 和 防伪 造 的 要 求 更 高 ， 且 要 求证 实 速度 比 签名 速度 更 快 ， 特 别 是 联机 在 线 实时 验证 。 

随 着 计算 机 网 络 的 发 展 ， 过 去 依赖 于 手书 签名 的 各 种 业务 都 可 用 这 种 电子 数字 签名 
代替 ， 它 是 实现 电子 贸易 、 电 子 支 票 、 电 子 货币 、 电 子 购物 、 电 子 出 版 及 知识 产权 保护 
等 系统 安全 的 重要 保证 。 有 关 签 名 算法 的 综合 性 介绍 可 参阅 相关 文献 [Diffie 等 1976; 
Menezes “} 1997; Mitchell 等 1992; Schneier 1996; Stinson 1995; Rivest 1990b]. 


_ 两 “RSA 签名 体制 


Ver, (m, o’) = | (7-3) 


7.2.1 体制 参数 


令 n=pip;，P1 和 p, 是 大 素数 , SM =S=Z,, tee Hii d fi ed =1modg(n), 
AF n 和 e， 将 p,、p, 和 4d 保密 。K =(n,p,q,e,d) 。 
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7.2.2 ”签名 过 程 
对 消息 M eZ,» 定义 : 
S =Sig,(M)=M‘4 modn (7-4) 
为 对 M 的 签名 。 


7.2.3 ”验证 过 程 


对 给 定 的 M 和 SS$， 可 按 式 (7-5) 验证 : 
Ver,(M,S) = 真心 M=Semodn (7-5) 


7.2.4 安全 性 


显然 ， 由 于 只 有 签名 者 知道 9， 根据 RSA 体制 知道 其 他 人 不 能 伪造 签名 ， 但 易于 证 
实 所 给 任意 CM, O 对 是 否 由 消息 M 和 相应 签名 构成 的 合法 对 。 如 第 5 章 中 所 述 ，RSA 
体制 的 安全 性 依赖 于 n= p,p, 分 解 的 困难 性 [Rivest 1978]. 

ISO/IEC 9796 All ANSI X9.30-199X 已 将 RSA 作为 建议 数字 签名 标准 算法 [Menezes 
等 1997]。PKCS #1 是 一 种 采用 杂凑 算法 〈 如 MD-2 或 MD-5 等 ) 和 RSA 相 结合 的 公 钥 
密码 标准 [RSA Lab 1993; Menezes 等 1997]。 有 关 ISO/IEC 9796 安全 性 分 析 可 参阅 相关 
文献 [Guillou 等 1990]. 


73 ElGamal 签名 体制 








ElGamal 签名 体制 由 工 ElGamal 于 1985 年 提出 ， 其 修正 形式 已 被 美国 NIST 作为 数 
字 签名 标准 (DSS)。 它 是 Rabin 体制 的 一 种 变型 ， 专 门 设计 作为 签名 用 。 方 案 的 安全 性 
基于 求 离散 对 数 的 困难 性 。 它 是 一 种 非 确定 性 的 双 钥 体制 ， 即 对 同一 明文 消息 ， 由 于 随 
机 参数 选择 不 同 而 有 不 同 的 签名 。 

7.3.1 体制 参数 

P: 一 个 大 素数 ， 可 使 Z, 中 求解 离散 对 数 为 困难 问题 

g: Æ Z, PRE Z, 的 一 个 生成 元 或 本 原 元 素 ; 

M: WARE, HZ; 

S: BARN, HZ xZ: 

xX: HPRH x eZ) o 








y=g* mod p (7-6) 
ZH: K =(p,q,x,y)， 其 中 p，g 和 yy 为 公 钥 ,x 为 密 钥 。 
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7.3.2 签名 过 程 
给 定 消息 M， 发 端 用 户 进行 下 述 工作 : 
(1) 选择 秘密 随机 数 keZ。 


(2) 计算 HM): 
r =g" mod p (7-7) 
5s =(H(M)—xr)k"' mod (p-1) (7-8) 
(3) H Sig, (M,k)=S=(r |S) 作为 签名 ， 将 M 和 (rls) 送 给 对 方 。 


7.3.3 ”验证 过 程 


收 信人 收 到 M，(r||s)， 先 计算 五 (M)， 并 按 式 (7-9) 验证 : 

Ver, (H(M),r,s) = E yr = g" mod p (7-9) 

KEAN yr =g"g* =e" modp, fst (7-8) A: 
(rs+sk)=H(M)mod(p —1) 





(7-10) 

故 有 : 

y'r =g" mod p (7-11) 

在 此 方案 中 ， 对 同一 消息 M， 由 于 随机 数 不 同 而 有 不 同 的 签名 值 S=(r||s)。 

例 7-1 X p=467, g=2, x=127, WE y=g*=2” =132mod467 。 

若 待 发 送 消息 为 M， 其 杂凑 值 为 H(M)=100 ， 选 随机 数 上 = 213 ， 注 意 ，(213，466) =1 
H. 213"1mod466=431， 则 有 r=23=29 mod 467. s= (100-127 X29) X 431 = 
51mod 466 。 

验证 : 收 信 人 先 算 出 已 (MD) = 100 , 然后 验证 132229? =189 mod 467 , 2'° =189 mod 467 。 


7.3.4 安全 性 

(1) 不 知 消息 签名 对 攻击 。 攻 击 者 在 不 知道 用 户 密 钥 x 的 情况 下 ， 若 想 伪造 用 户 的 
签名 ， 可 选 + 的 一 个 值 ， 然 后 试验 相应 s 取 值 ， 为 此 必须 计算 log, g*3”。 也 可 先 选 一 个 
s 的 取 值 ， 然 后 求 出 相应 + 的 取 值 ， 试 验 在 不 知道 条 件 下 分 解 方 程 : 

y's`ab= g” mod p 

这 些 都 是 离散 对 数 问题 。 至 于 能 否 同时 选 出 go 和 bp， 然后 解 出 相应 M， 这 仍 面临 求 
离散 对 数 问题 ， 即 需 计 算 log。 yr" o 

(2) 已 知 消息 签名 对 攻击 。 假 定 攻击 者 已 知 (r|s) 是 消息 M 的 合法 签名 。 令 八大 了 
FER, PAZO, i j<p-2, H(ar-js,p-l=1. KHAA 





r'=r"y' mod p (7-12) 
s'=sA(hr — js)'mod (p-1) (7-13) 
M'=A4A(hM +is)(hr — jsy'mod ( p-1) (7-14) 


则 (1s) 是 消息 M 的 合法 签名 。 但 这 里 的 消息 是 M' ,并非 是 攻击 者 选择 的 利于 他 的 消 
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息 。 如 果 攻 击 者 要 对 其 选 定 的 消息 得 到 相应 的 合法 签名 ， 仍 然 面临 求 离散 对 数 的 问题 。 
如 果 攻击 者 掌握 了 同一 随机 数 r 下 的 两 个 消息 M, A M, HEERA (n |b) A(n llb)» 
则 由 : 




















M=nk+srmod (p-1) (7-15) 
M, =",k + s,rmod (p-1) (7-16) 
就 可 以 解 出 用 户 的 密 钥 ko 因此 在 实用 中 ， 对 每 个 消息 的 签名 都 应 变换 随机 数 上 而且 对 
某 消息 M 签名 所 用 的 随机 数 不 能 泄漏 ， 否 则 将 可 由 式 (7-10) 解 出 用 户 的 密 钥 x H 
前 ，ANSI X9.30-199X 已 将 ElGamal 签名 体制 作为 签名 标准 算法 。 


74 Schnorr 签名 体制 











Schnorr C 于 1989 年 提出 一 种 签名 体制 一 一 Schnorr 签名 体制 。 

7.4.1 体制 参数 

pP q 大 素数 ，gq|p 一 1，g 是 大 于 等 于 160b 的 整数 ，p 是 大 于 等 于 512b 的 整数 ， 
保证 Z, 中 求解 离散 对 数 困难 ; 

g: 2 中 元 素 ,， 且 8g?=1lmodp: 

x: 用 户 密 钥 ，1<x<g; 

y: 用 户 公 钥 ，y= g*modp; 

消息 空间 m= Z ， 签 名 空间 = Z; x Z, WARN 

k ={(p,4,g,x, y): y = g* mod p} (7-17) 
7.4.2 ”签名 过 程 


令 待 签 消息 为 M， 对 给 定 的 M 做 下 述 运算 : 
A) 签名 用 户 任 选 一 秘密 随机 数 上 es Z, 。 





(2) 计算 : 
peg! mdp (7-18) 
s=k+xemodq (7-19) 
式 中 : 
e=H(r||M) (7-20) 


(3) 将 消息 M 及 其 签名 8 =Sig,(M)=(e || s KAMA. 


7.4.3 ”验证 过 程 
收 信人 收 到 消息 M 及 签名 $=(ells) 后 : 
(1) 计算 
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r'=g*y* modp (7-21) 
然后 计算 五 (| M) 。 
(2) 验证 
Ver(M,r,s) © H(r'||M) =e (7-22) 
AA, (ells) M 的 合法 签名 ， 则 有 gy* =g y™ =e* =rmodp, x (7-22) 
必 成 立 。 


7.4.4 Schnorr 签名 与 ElGamal 签名 的 不 同 点 
(1) 在 ElGamal 体制 中 ，g 为 Z, 的 本 原 元 素 ; 在 Schnorr 体制 中 ，g XZ, 中 子 集 Z 





有 关 Schnorr 签名 的 各 种 变型 可 参阅 相关 文献 [Brickell 等 1992]。De Rooij[1991, 
1993] 对 Schnorr 方案 的 安全 性 进行 了 分 析 。 

(2) Schnorr 的 签名 较 短 ， 由 19| 及 | 五 (AM)| 决 定 。 

(3) 在 Schnorr 签名 中 ，r = g* mod p 可 以 预先 计算 , k 与 M 无 关 ， 因 而 签名 只 需 一 
次 mod 9 乘法 及 减法 。 所 需 计 算 量 少 、 速 度 快 ， 适 用 于 智能 卡 应 用 。 

例 7-2 ”选取 素数 g4=101，P=7879(qg|pP-D ， 生 成 元 g=170 ， 选 取 私 钥 x =75， 
计算 公 钥 = 1705 mod 7879 = 4567， 设 选 定 的 哈 希 函数 为 H, A 的 公开 参数 为 《7879， 
101, 170, 4567) KH, AMAA 75. RREBA NBA mM, SAUTE: 

C1) 用 户 4 选取 随机 数 k=50， 计 算 r=g*modp=170”mod7879=2518。 

(2) 计算 e=HH(m||r)=H(m||2518)， 假 设计 算 的 结果 为 96《〈 依 赖 于 所 选取 的 哈 希 
函数 )。 

(3) 计算 s=50+75x96mod101=79。 

(4) 签名 结果 为 Ce s) = (96, 97). 

签名 验证 : TSE r' =170” x 4567 mod 7879 =2518; 检查 等 式 e'= 矿 (m|r')=e 是 否 
成 立 。 如 果 相 等 ， 则 接受 签名 。 


75 DSS 签名 标准 





7.5.1 概况 


DSS 签名 标准 是 1991 年 8 月 由 美国 NIST 提出 ，1994 年 5 月 19 日 正式 公布 ，1994 
年 12 月 1 日 正式 采用 的 美国 联邦 信息 处 理 标准 。 其 中 采用 了 第 6 章 中 介绍 的 SHA， 其 
安全 性 基于 求 离散 对 数 的 困难 性 SHA 是 在 ElGamal 和 Schnorr[1991] 两 个 方案 基础 上 设 
iit}. DSS (Digital Signature Standard) 中 采用 的 算法 简 记 为 DSA (Digital Signature 
Algorithm )。 此 算法 由 D. W. Kravitz 设计 。 

这 类 签名 标准 具有 较 好 的 兼容 性 和 适用 性 ， 已 成 为 网 络 安全 体系 的 基本 构件 之 一 。 
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7.5.2 ”签名 和 验证 签名 的 基本 框图 

图 7-1 Ca) 和 (b) 分 别 示 出 了 RSA (LUC) 签名 体制 和 DSS 签名 体制 的 基本 框图 。 
HP, h: hashi; M: 消息 ; E: 加密; D: 解密 ; Kus: 用 户 密 钥 : Kup: 用 户 公 钥 ; 
Kua: 部 分 或 全 局 用 户 公 钥 ; k 随机 数 。 


加 -9 一 -®© 
Ex, (AM) lee 
1 
Kup 


Kus 
(a) RSA( 或 LUC) 签 名 体制 































































































(b) DSS 等 名 体制 
图 7-1 RSA 和 DSS 签名 体制 示意 图 


7.5.3 ”算法 描述 

(1) SHAH Cp, q g): 

p: Æ < p< HK, 512 <L<1024, 4% 64b 递增 ; 

q: (P-D 的 素 因 子 ， 且 25 <q<2, HFK 160b; 

g: g=h’'modp, H1i<h<(p-1), wh??? mod p>. 

(2) 用 户 密 钥 x: x NEO <x <q 内 的 随机 或 拟 随 机 数 。 

G) HP AH y: y=g* mod p. 

(4) 用 户 对 每 个 消息 用 的 秘密 随机 数 k: 在 0<k<g 内 的 随机 或 拟 随机 数 。 
(5) 签名 过 程 :对 消息 Me Z;， 其 签名 为 





S =Sig,(M,k) =(r,s) (7-23) 

其 中 ， SeZ,xZ,, 
r =(g* mod p)modq (7-24) 
s =[k"(A(M) + xr)]modgq (7-25) 


(6) 验证 过 程 : 计算 
w=s'modq: u,=[h(M)w]modq: 
u, =rwmodq ; v=[(g" y")mod p]modgq 
Ver(M,r,s)=FL ever (7-26) 
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7.5.4 DSS 签名 和 验证 框图 
图 7-2 为 DSS 签名 和 验证 框图 。 





pqg 






























































jj M| lh yqg 
Wo, Ba 
we ily 
ML efi fi > 
F r 
(a) 签名 (b) 证 实 


图 7-2 DSS 签名 和 验证 框图 


7.5.5 ”公众 反应 


RSA Data Security Inc (DSI) 想 以 RSA 算法 作为 标准 ， 因 而 它 对 此 反应 强烈 。 在 标 
准 公 布 之 前 ， 它 就 指出 ， 采 用 公用 模 可 能 使 政府 能 够 伪造 签名 。 许 多 大 的 软件 公司 早已 
得 到 RSA 的 许可 证 ， 从 而 反对 DSS。 主 要 批评 意见 如 下 : 

(1) DSA 不 能 用 于 加 密 或 密 钥 分 配 。 

(2) DSA 是 由 NSA 开发 的 ， 算 法 中 可 能 设 有 陷 门 。 

(3) DSA 比 RSA 慢 。 

(4) RSA 已 是 一 个 实际 上 的 标准 ， 而 DSS 与 现行 国际 标准 不 相 容 。 

(5) DSA 未 经 公开 选择 过 程 ， 还 没有 足够 的 时 间 进 行 分 析 证 明 。 

(6) DSA 可 能 侵犯 了 其 他 专利 (如 Schnorr 签名 算法 和 Diffie-Hellman 的 公 钥 密 钥 分 配 
算法 )。 

(7) 由 512b 所 限定 的 密 钥 量 太 小 ， 现 已 改 为 凡是 S12 一 1024b 中 可 被 64 除 尽 的 数 ， 
均 可 供 使 用 。 有 关 批 评 意见 可 参阅 相关 文献 [Smid 等 1992a] 。 


7.5.6 ”实现 速度 


预计 算 ， 随机 数 > 与 消息 无 关 ， 选 一 数 串 上， 预先 计算 出 其 r>。 对 大 :也 可 这 样 做 。 
预计 算 大 大 加 快 了 DSA 的 速度 。DSA 和 RSA 的 比较 如 表 7-1 所 示 。 
表 7-1 DSA 和 RSA 比较 


DSA 采用 公用 p、g、g 








总 计算 Off Card(P) 
密 钥 生成 4s 

预计 算 4s 

签字 0.035s 

证 实 10s 





YER: 脱 卡 〈Off Card) 计算 以 33MHz 的 80386 PC, S 是 脱 卡 秘密 参数 ， 模 皆 为 512b。 


NIST 曾 给 出 一 种 求 DSA 体制 所 需 素数 的 建议 算法 ， 这 一 体制 是 在 ElGamal 体制 基 
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础 上 构造 的 。 AK ElGamal 体制 安全 性 讨论 也 涉及 DSA, 如 秘密 随机 数 若 被 重复 使 用 ， 
则 有 被 破译 的 危险 性 。 大 范围 用 户 采用 同一 公共 模 会 成 为 众矢之的 。Simmons[1993a， 
1993b] 还 发 现 ，DSA 可 能 会 提供 一 个 潜 信 道 。 还 有 人 提出 对 DSA 的 各 种 修正 方案 [Yen 
1994; Nyberg 等 1993]。 























_ 元 中国 商 用 数字 签名 算法 SM2 


SM2 椭圆 曲线 数字 签名 算法 是 2010 年 12 月 由 我 国 国家 密码 管理 局 正式 公布 的 商用 
数字 签名 标准 。 同 时 公布 的 还 包含 加 解密 算法 和 密 钥 交 换 协议 。 该 组 椭圆 曲线 密码 算法 
已 经 广泛 应 用 在 多 类 商用 密码 产品 之 中 。 本 节 仅 介绍 数字 签名 算法 ， 其 他 算法 在 相关 章 
节 中 介绍 ， 全 面 详细 的 介绍 请 参见 SM2 标准 。 


7.6.1 体制 参数 


(1) 选择 一 个 椭圆 曲线 。 国 家 密码 管理 局 在 SM2 椭圆 曲线 公 钥 密 码 算 法 中 推荐 使 用 
的 曲线 为 256 位 素数 域 GF(p) 上 的 椭圆 曲线 。 方 程 形 式 为 ，y? =x? +ax+b。 具 体 曲 线 参 
数 可 见 本 书 5.6.1 节 内 容 。 

(2) 设置 用 户 A WEAH d, s[L2 -1 和 用 户 A 的 公 钥 P=[d4]G= (x4,74)。 

G) 选择 一 个 密码 杂凑 算法 ， 设 为 及 ,( ) 。 表 示 摘 要 长 度 为 比特 的 密码 杂凑 函数 。 
如 国家 密码 管理 局 发 布 的 SM3 算法 。 

(4) 选择 一 个 安全 的 随机 数 发 生 器 , 建议 选用 国家 密码 管理 局 批准 的 随机 数 发 生 器 。 

G) 假设 签名 者 A 具有 长 度 为 entlen 比特 的 可 辨别 标识 ID4， 记 ENTL4 是 由 整数 
entlen , 转换 而 成 的 两 个 字 节 。 在 椭圆 曲线 数字 签名 算法 中 ， 签 名 者 和 验证 者 都 需要 用 密 
码 杂 次 函数 求 得 用 户 A 的 杂 竣 值 Z4 = Hase (ENTLa||/Dy|| all bll xal ya || xal|y4)。 


7.6.2 ”签名 过 程 


假设 待 签名 的 消息 为 M ， 为 了 获取 消息 M 的 数字 签名 (r，s)， 作 为 签名 者 的 用 户 A 
应 执行 以 下 运算 步骤 : 

a) #¥ M =Z |M; 

(2) Wfe=H (M), ， 并 将 e 的 数据 类 型 转换 为 整数 ; 

G) 用 随机 数 发 生 器 产生 随机 数 上 s[Lz-] ; 

(4) 计算 椭圆 曲线 点 (x,)=[K]G ， 并 将 x 的 数据 类 型 转换 为 整数 ; 

(5) 计算 r=(e+w)modn， 若 r=0 或 r+k=n 则 返回 步骤 (3); 

(6) 计算 s=((1+4d4) (kr.qdy))modn， 若 s=0 则 返回 步骤 (3); 

(7) 将 r、s 的 数据 类 型 转换 为 字 节 串 ， 消 息 M 的 签名 为 (7,s) 。 

为 了 帮助 读者 理解 , SM2 标准 也 给 出 了 数字 签名 生成 算法 流程 , 具体 如 图 7-3 所 示 。 
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用 户 A 的 原始 数据 
( 帆 圆 曲线 系统 参数 、Z,、M、 Par dy) 
































T 
第 ] 步 : 置 MZ M 








1 
第 2 步 : 计算 e=Hy( M) 








1 
第 3 步 : 产生 随机 数 EE [l,m-1] ~-— 








ul 
第 4 步 : 计算 椭圆 曲线 点 (x1,y1) E [AIG 





























! 
第 5 步 : if Gir =(e+x,)mod n 


1E 


第 6 步 : 计算 =((1+d) |: (k r-dy))mod n 









































是 
s=0? 
否 
第 7 步 : 确定 数字 签名 (r,s) 
1 
输出 消息 M 及 其 数字 签名 (r,s) 











图 7-3 数字 签名 生成 算法 流程 
7.6.3 ”验证 过 程 
为 了 检验 收 到 的 消息 M 及 其 数字 签名 (xr",s") ,作为 验证 者 的 用 户 B 应 实现 以 下 运算 


步 又 : 
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(1) 检验 x'e[1n-]] 是 否 成 立 ， 若 不 成 立 则 验证 不 通过 ; 

(2) Hats’ efn- 是否 成 立 ， 若 不 成 立 则 验证 不 通过 ; 

G) HM'=Z,||M'; 

(4) 计算 e =H, (M), He ERRERA RM 

(5) Fir Als’ RRRA, r= (",* )mod n， 若 +=0 ， 则 验证 不 通过 ， 
(6) HSE HATA HEH (xiv) = [5] +P: 

D Hi BGR EBON KA, GER =(e' +x] mod n， 检 验 R= x' 是 否 成 立 ， 车 成 





mes 第 7 章 数字 签名 mmm 
立 则 验证 通过 ; 否则 验证 不 通过 。 
为 了 帮助 读者 理解 , SM2 标准 也 给 出 了 数字 签名 生成 算法 流程 , 具体 如 图 7-4 所 示 。 


用 户 B 的 原始 数据 
( 帆 圆 曲线 系统 参数 、Z4、 Pao AM s(r' 8’) ) 


























T 
| 第 1 步 : 检验 r'e [1,n-1] 是 否 成 立 











re[l,n-1]? 
1 是 


第 2 步 : 检验 s'E [1,n-1] 是 否 成 立 














s‘E[l,n-1]? 
1 是 


第 3 步 : HLM! =Z,|| M' 








第 4 步 : 计算 e'=Hy(M' ) 








f 
第 5 步 : 计算 (=( r'+s' )mod n 














t=0? 


La 


第 6 步 : 计算 椭圆 曲线 点 
Ge! ty Ls IGP, 
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第 7 步 : 计算 R=(e' +x)') mod n 


ere z 
是 
1 1 


验证 通过 验证 不 通过 
图 7-4 数字 签名 验证 算法 流程 















































7.6.4 签名 实例 
为 了 推广 应 用 SM2 算法 ， 中 国 国家 密码 管理 局 在 颁布 SM2 公 钥 密码 算法 时 ， 分 别 
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给 出 了 SM2 数字 签名 算法 在 两 类 椭圆 曲线 上 消息 签名 和 验证 的 实例 , 以 及 各 步骤 中 的 详 
细 值 。 感 兴趣 的 读者 可 从 Web 地 址 http://www.oscca.gov.cn/News/201012/News_1197.htm 
获取 相关 实例 信息 。 


_ 77 _ 具有 特殊 功能 的 数字 签名 体制 





7.7.1 不 可 否认 签名 


1989 年 ， 由 Chaum 和 Antwerpen 引入 的 不 可 否认 签名 具有 一 些 特殊 性 质 ， 非 常 适 
用 于 某 些 应 用 。 其 中 最 本 质 的 是 在 无 签名 者 合作 的 条 件 下 不 可 能 验证 签名 ， 从 而 可 以 防 
止 复制 或 散布 他 所 签 文件 的 可 能 性 ， 这 一 性 质 使 产权 拥有 者 可 以 控制 产品 的 散发 。 这 在 
电子 出 版 物 的 知识 产权 保护 中 将 大 有 用 场 。 

普通 数字 签名 可 以 精确 地 被 复制 ， 这 对 于 如 公开 声明 之 类 文件 的 散发 是 必需 的 ， 但 
对 另 一 些 文件 如 个 人 或 公司 信件 , 特别 是 有 价值 文件 的 签名 ,如 果 也 可 随意 复制 和 散发 ， 

会 造成 灾难 。 这 时 就 需要 不 可 否认 签名 。 

在 签名 者 合作 下 才能 验证 签名 ， 这 会 给 签名 者 一 种 机 会 ， 即 在 不 利于 他 时 ， 他 可 以 
拒绝 合作 ， 以 达到 否认 他 曾 签署 过 此 文件 的 目的 。 为 了 防止 此 类 事件 发 生 ， 不 可 否认 签 
名 除了 采用 一 般 签名 体制 中 的 签名 算法 和 验证 算法 〈 或 协议 ) 外 ， 还 需要 第 3 个 组 成 部 
分 ， 即 否认 协议 《Disavowal Protocol)， 签 名 者 可 利用 否认 协议 向 法 庭 或 公众 证 明 一 个 伪 
造 的 签名 确实 是 假 的 ， 如 果 签 名 者 拒绝 参与 执行 否认 协议 ， 就 表明 签名 确实 是 由 他 签 
署 的 。 

有 关 不 可 否认 签名 体制 ， 可 参考 Chaum 和 Antwerpen 的 文章 [Chaum 等 1989] 和 王 
育 民 等 的 书 [ 王 育 民 等 1999]。 

不 可 否认 签名 可 以 和 秘密 共享 体制 组 合 使 用 ， 成 为 一 种 分 布 式 可 变换 不 可 和 否认 签名 
(Distributed Convertible Undeniable Signature), 它 由 一 组 人 中 的 几 个 人 参与 协议 执行 来 验 
证 某 人 的 签名 。 相 关内 容 可 参阅 相关 文献 [Pederson 1991; Harn 等 1992; Sakano 等 
1993]。 有 关 不 可 否认 签名 ,还 可 参阅 文献 [Chaum 1991, 1995; Okamoto 等 1994; Boyar 
等 1991]。 


7.7.2 ” 防 失败 签名 


防 失败 (Fail Stop) 签名 由 B.Pfitzmann 和 M.Waidner[Pfitzmann 等 1991] 引 入 。 这 
是 一 种 强化 安全 性 的 数字 签名 , 可 防范 有 充足 计算 资源 的 攻击 者 。 当 4 的 签名 受到 攻击 ， 
甚至 分 析出 4 的 密 钥 条 件 下 ， 也 难于 伪造 4 的 签名 ，4 也 难以 对 自己 的 签名 进行 抵赖 。 

防 失败 签名 体制 可 参考 van Heyst 和 Pederson[van Heyst 等 1992] 所 提 方 案 。 它 是 一 
种 一 次 性 签名 方案 。 即 给 定 密 钥 只 能 签署 一 个 消息 。 它 由 签名 、 验 证 和 “对 伪造 的 证 明 ” 
(Proof of Forgery) 算法 等 3 部 分 组 成 。 

有 关 防 失败 签名 体制 还 可 参阅 相关 文献 [Pfitzmann 等 1991; Damgard 等 1997]。 
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7.7.3” 盲 签名 


对 于 一 般 的 数字 签名 来 说 ， 签 名 者 总 是 要 先知 道 文件 内 容 而 后 才 签 署 ， 这 正 是 通常 
所 需要 的 。 但 有 时 需要 某 人 对 一 个 文件 签名 ， 但 又 不 让 他 知道 文件 内 容 ， 把 这 种 签名 称 
为 盲 签名 (Blind Signature). HE (ES EH Chaum[Chaum 1983] 最 先 提出 的 ， 在 选 
举 投票 和 数字 货币 协议 中 将 会 碰 到 这 类 要 求 。 利 用 盲 变换 可 以 实现 讶 签名， 如 图 7-5 所 


Ko 








BEM | 言 变换 Leg 


图 7-5 盲 签 名 框图 


任何 讶 签名 , 都 必须 利用 分 割 -选择 原则 。Chaum 提出 一 种 更 复杂 的 算法 来 实现 1 
名 。 后 来 他 还 提出 了 一 些 更 复杂 但 更 灵活 的 盲 签 名 法 。 

有 关 言 签名 的 各 种 方案 可 参阅 相关 文献 [Camenisch 等 1994; Horster 等 1995; 
Stadler 等 1995]。 讶 签名 在 新 型 电子 商务 系统 中 将 有 重要 应 用 [Chaum 等 1989, 1990; 
Chaum 1989; Okamoto 1995 ]。 


7.7.4 和 群 签名 


群体 密码 学 (Group Oriented Cryptography) 由 Desmedt 于 1987 年 提出 。 它 是 研究 
面向 社团 或 群体 中 所 有 成 员 需 要 的 密码 体制 。 在 群体 密码 中 ， 有 一 个 公用 的 公 钥 ， 和 群体 
外 面 的 人 可 以 用 它 向 群体 发 送 加 密 消 息 ， 密 文 收 到 后 ， 由 群体 内 部 成 员 的 子 集 共 同 进 行 
解密 。 本 节 介绍 群体 密码 学 中 有 关 签名 的 一 些 内 容 。 

群 签名 (Group Signature) 是 面向 群体 密码 学 的 一 个 课题 ，1991 年 由 Chaum 和 van 
Heyst 提出 。 它 有 下 述 几 个 特点 : 只 有 群 中 成 员 能 代表 群体 签名 ， 接收 到 签名 的 人 可 以 
用 公 角 验证 群 签名 ， 但 不 可 能 知道 由 群体 中 哪个 成 员 所 签 ， 发 生 争议 时 ， 由 群体 中 的 成 
员 或 可 信赖 机 构 识别 群 签名 的 签名 者 。 

例如 ， 这 类 签名 可 用 于 项 目 投标 。 所 有 公司 应 邀 参 加 投标 ， 这 些 公司 组 成 一 个 
和 群体， 且 每 个 公司 都 匿名 地 采用 群 签名 对 自己 的 标书 签名 。 当 选中 了 一 个 满意 的 标 
书后 ， 招 标 方 就 可 识别 出 签名 的 公司 ， 而 其 他 标书 仍 保持 匿名 。 中 标 者 若 想 反 悔 已 
无 济 于 事 ， 因 为 在 没有 他 参加 下 仍 可 以 正确 识别 出 他 的 签名 。 这 类 签名 还 可 在 其 他 
类 似 场合 使 用 。 
群 签名 也 可 以 由 可 信赖 的 中 心 协助 执行 ， 中 心 掌握 各 签名 人 与 所 签名 之 间 的 相关 信 
息 ， 并 为 签名 人 匿名 签名 保密 ; 有 和 争执 时 ， 可 以 由 签名 识别 出 签名 人 [Chaum 1991]. 

Chaum 和 Heyst[Chaum 等 1990] 曾 提出 4 种 群 签名 方案 。 其中， 有 的 由 可 信赖 中 心 
协助 实现 群 签名 功能 ， 有 的 采用 不 可 否认 并 结合 否认 协议 实现 。 

Chaum 所 提 方案 ， 不 仅 可 由 群体 中 一 个 成 员 的 子 集 一 起 识别 签名 者 ， 还 可 允许 群体 
在 不 改变 原 有 系统 各 密 钥 下 添加 新 的 成 员 。 

群 签名 目标 是 对 签名 者 实现 无 条 件 匿名 保护 ， 且 又 能 防止 签名 者 的 抵赖 ， 因 此 称 其 
为 群体 内 成 员 的 匿名 签名 (Anonymity Signature) 更 合适 些 [Chen 1994; Chen 等 1994]. 


SCM) | 








解 盲 变换 一 = S(M) 
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前 面 已 介绍 过 不 可 抵赖 签名 ， 这 里 介绍 在 一 个 群体 中 由 多 个 人 签署 文件 时 能 实现 不 
可 抵赖 特性 的 签名 问题 。Desmedt 等 提出 的 实现 方案 多 依赖 于 门限 公 钥 体制 。 

一 个 面向 群体 的 (t，n) 不 可 抵赖 签名 ， 其 中 上 是 阔 值 , 是 群体 中 成 员 总 数 ， 群 体 
有 一 公用 公 钥 。 签 名 时 也 必须 有 + 人 参与 才能 产生 一 个 合法 的 签名 ， 而 在 验证 签名 时 也 
必须 至 少 有 群体 内 成 员 合作 参与 下 才能 证 实 签名 的 合法 性 。 这 是 一 种 集体 签名 共同 负责 
制 。L.Harn 和 S.Yang[Harn 等 1992] 提 出 了 一 种 1:=1 和 +=n 的 方案 。D.Wang[Wang 1996] 
给 出 了 1 三 1 三 n 的 两 种 方案 。 


7.7.5 ”代理 签名 


代理 (proxy) 签名 是 某 人 授权 其 代理 进行 的 签名 。 在 不 将 其 签名 密 钥 交 给 代理 人 的 
条 件 下 ， 如 何 实现 委托 签名 呢 ? Mambo 等 [1995] 提 出 了 一 种 解决 办 法 ， 能 够 使 代理 签名 
具有 如 下 特点 : 

(1) 不 可 区 分 性 〈distinguishability )， 代 理 签名 与 某 人 通常 签名 不 可 区 分 。 

(2) 不 可 伪造 性 〈unforgeability)， 只 有 原来 签名 人 和 所 托付 的 代理 签名 人 可 以 建立 
合法 的 委托 签名 。 

(3) 代理 签名 的 差异 (deviation)， 代 理 签名 者 不 可 能 制造 一 个 合法 代理 签名 不 被 检 
测 出 它 是 一 个 代理 签名 。 

(4) 可 证 实 性 〈verifiability)， 签 名 验证 人 可 以 相信 委托 签名 就 是 原 签 名 人 认可 的 签 

(5) 可 识别 性 〈identifiability)， 原 签名 人 可 以 从 委托 签名 确定 出 代理 其 签名 人 的 身 
份 。 

(6) 不 可 抵赖 性 (undeniability )， 代 理 签名 人 不 能 抵赖 他 所 建立 的 已 被 接受 的 委托 

有 时 可 能 需要 更 强 的 可 识别 性 , 即 任何 人 可 以 从 委托 签名 确定 出 代理 签名 人 的 身份 。 
有 关 具 体 实现 算法 可 参阅 相关 文献 [Mambo 等 1995]. 


7.7.6 ”指定 证 实 人 的 签名 


一 个 机 构 中 指定 一 个 人 负责 证 实 所 有 人 的 签名 ， 任 何 成 员 所 签 的 文件 都 具有 不 可 否 
认 性 ， 但 证 实 工作 均 由 指定 人 完成 ， 这 种 签名 称 做 指定 证 实 人 的 签名 (Designated 
Confirmer Signatures)， 它 是 普通 数字 签名 和 不 可 和 否认 数字 签名 的 折 中 。 签 名 人 必须 限定 
谁 才 能 证 实 他 的 签名 ; 但是， 如 果 让 签名 人 完全 控制 签名 的 实施 ， 他 可 能 会 用 肯定 或 
和 否定 方式 拒绝 合作 ， 他 也 可 能 为 此 宣布 密 钥 丢失 ， 或 可 能 根本 不 提供 签名 。 指 定 证 实 人 
签名 ， 可 以 给 签名 人 一 种 不 可 和 否认 签名 的 保护 ， 但 又 不 会 让 他 滥用 这 类 保护 。 这 种 签名 
也 有 助 于 防止 签名 失效 ， 例 如 ， 在 签名 人 的 签名 密 钥 确实 丢失 ， 或 在 他 休假 、 病 倒 甚至 
已 去 世 时 都 能 对 其 签名 提供 保护 。 

指定 证 实 人 的 签名 可 以 用 公 钥 体制 结合 适当 的 协议 设计 来 实现 。 证 实 人 相当 于 仲裁 
角色 ， 他 将 自己 的 公 钥 公开 ， 任 何人 对 某 文件 的 签名 都 可 以 通过 他 来 证 实 。 有 关 具 体 算 
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法 可 参阅 相关 文献 [Okamoto 等 1994]。 


7.7.7 一 次 性 数字 签名 


若 数 字 签名 机 构 至 多 只 能 对 一 个 消息 进行 签名 ， 否 则 签名 就 可 被 伪造 ， 这 种 签名 被 
称 做 一 次 性 〈One Time) 签名 体制 。 在 公 钥 签名 体制 中 ， 它 要 求 对 每 个 消息 都 要 用 一 个 
新 的 公 钥 作为 验证 参数 。 一 次 性 数字 签名 的 优点 是 产生 和 证 实 都 较 快 ， 特 别 适 用 于 要 求 
计算 复杂 性 低 的 芯片 卡 。 有 关 一 次 性 数字 签名 ， 人 们 已 提出 几 种 实现 方案 ， 如 Rabin 一 
次 性 签名 方案 、Merkle 一 次 性 签名 方案 、GMR 一 次 性 签名 方案 、Bos 等 的 一 次 性 签名 方 
案 。 这 类 方案 多 与 可 信赖 第 三 方 相 结合 ， 并 通过 认证 树 结构 实现 [Menezes 等 1997]。 


7.7.8 双 有 理 签名 方案 


Shamir 在 1993 年 提出 了 双 有 理 签 名 方案 [Shamir 1993]，Coppersmith 对 其 进行 了 攻 
击 和 分 析 研 究 ， 具 体内 容 可 参见 相关 文献 [Coppersmith 等 1997]。 


78 数字 签名 的 应 用 





数字 签名 方案 常 因 不 同 的 应 用 而 异 ， 本 文 将 在 后 续 章 节 中 介绍 数字 签名 在 协议 中 的 
各 种 各 样 的 应 用 ， 如 数字 签名 应 用 在 认证 的 密 钥 建立 协议 、 数 字 证 书 与 公 钥 基础 设施 等 
应 用 场景 中 。 


4 A 


一 、 填 空 题 
. 类 似 手书 签名 ， 数 字 签 名 也 应 满足 x 5 和 
. 按 明 、 密 文 的 对 应 关系 划分 ， 数 字 签 名 可 以 分 为 和 
. RSA 签名 体制 的 安全 性 依赖 于 
. ElGamal 签名 体制 的 安全 性 依赖 于 P 
. 不 可 否认 签名 的 本 质 是 A 
. 群 签名 是 面向 ， 其 目的 是 
. SM2 是 国家 密码 管理 局 于 2010 年 颁布 的 基于 密码 算法 ， 有 具体 
包括 两 个 算法 1 个 协议 ， 分 别 是 和 

二 、 思 考题 

1. 分 析 RSA 算法 存在 的 安全 缺陷 。 

2. 查找 并 阅读 SM2 椭圆 曲线 公 钥 密码 算法 标准 ， 了 解 算 法 流程 ， 构 思 一 种 SM2 数 
字 签 名 算法 的 应 用 场景 。 

3. 比较 ElGamal 签名 体制 与 SM2 签名 算法 的 异同 。 
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4. 比较 RSA 签名 体制 、EIGamal 签名 体制 和 Schnorr 签名 体制 的 异同 。 

5. 比较 签名 标准 算法 DSA 与 EIGamal 签名 体制 的 异同 。 

6. 编程 实现 SM2 椭圆 曲线 数字 签名 方案 。 

7. 什么 是 不 可 否认 签名 、 防 失败 签名 、 盲 签名 和 群 签名 ? 

8. 当 签 名 与 加 密 结 合 时 ， 有 两 种 顺序 : 一 种 是 先 加密 后 签名 ， 另 一 种 是 先 签名 后 加 
试 比较 这 两 种 方式 的 安全 性 。 


第 8 tt eae 
密码 协议 


84 协议 的 基本 概念 





在 现实 生活 中 ， 人 们 对 协议 并 不 陌生 ， 人 们 都 在 自觉 或 不 自觉 地 使 用 各 种 协议 。 例 
如 ， 在 处 理 国 际 事务 时 ， 国 家 政府 之 间 通 常 要 遵守 某 种 协议 ， 在 法 律 上 ， 当 事 人 之 间 常 
常 要 按照 规定 的 法 律 程序 去 处 理 纠纷 ， 在 打 扑 克 、 电 话 订货 、 投 票 或 到 银行 存 /取款 时 ， 
都 要 遵守 特定 的 协议 。 由 于 人 们 能 够 熟练 地 使 用 这 些 协议 来 有 效 地 完成 所 要 做 的 事情 ， 
所 以 很 少 有 人 去 深入 地 考虑 它们 。 

协议 (protocol) 指 两 个 或 两 个 以 上 的 参与 者 为 完成 某 项 特定 的 任务 而 采取 的 一 系列 
步骤 。 这 个 定义 包含 3 层 含义 : 第 一 ， 协 议 自始至终 是 有 序 的 过 程 ， ed PRO 
执行 。 在 前 一 步 没有 执行 完 之 前 ， 后 面 的 步骤 不 可 能 执行 。 第 二 
与 者 。 一 个 人 可 以 通过 执行 一 系列 的 步骤 来 完成 某 项 任务 ， 但 它 不 构成 协议 第 三 ， 通 
过 执行 协议 必须 能 够 完成 某 项 任务 。 即 使 某 些 东 西 看 似 协 议 ， 但 没有 完成 任何 任务 ， 也 
不 能 称 为 协议 ， 只 不 过 是 浪费 时 间 的 空 操作 。 

在 讨论 之 前 ， 首 先 对 协议 的 参与 者 做 表 8-1 所 示 的 定义 。 

表 8-1 协议 中 可 能 的 参与 者 及 其 作用 

















协议 的 参与 者 其 在 协议 中 所 发 挥 的 作用 
Alice 在 所 有 协议 中 ， 她 是 第 一 参与 者 
Bob 在 所 有 的 协议 中 ， 他 是 第 二 参与 者 
Carol 在 三 方 或 四 方 协议 中 ， 他 是 参与 者 之 一 
Dave 在 三 方 或 四 方 协议 中 ， 他 是 参与 者 之 一 
Eve 窃听 者 
Mallory 恶意 的 主动 攻击 者 
Trent 可 信赖 的 仲裁 者 
Walter 监察 官 ， 他 将 在 某 些 协议 中 保护 Alice 和 Bob 
Peggy 证 明 者 
Victor 验证 者 


8.1.1 仲裁 协议 
仲裁 者 (Arbitrator) 是 某 个 公正 的 第 三 方 。 在 执行 协议 的 过 程 中 ， 其 他 各 方 均 信赖 
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他 。“ 公 正 ” 意 味 着 仲裁 者 对 参与 协议 的 任何 一 方 没 有 偏向 ,而 “可 信赖 ”意味 着 参与 协 
议 的 所 有 人 均 认为 他 所 说 的 话 都 是 真 的 ， 他 所 做 的 事 都 是 正确 的 ， 并 且 他 将 完成 协议 赋 
予 他 的 任务 。 仲 裁 者 能 够 帮助 两 个 互 不 信赖 的 实 


Trent 
- 体 完成 协议 ， 如 图 8-1 所 示 。 
在 现实 生活 中 ， 律 师 常常 被 认为 是 仲裁 者 。 
= 例如 ，Alice 要 卖 汽车 给 陌生 人 Bob, Ti Bob 想 


























图 8-1 仲裁 协议 用 支票 付 账 。 在 Alice 将 车 交 给 Bob 之 前 ， 他 必 
须 查 清 支票 的 真 伪 。 同 样 ，Bob 也 不 相信 Alice， 在 没有 获得 车 主权 之 前 ， 也 不 愿 将 支票 
交 给 Alice。 


这 时 ， 就 需要 一 个 为 双方 信赖 的 律师 来 帮助 他 们 完成 交易 。Alice 和 Bob 可 以 通过 
执行 以 下 协议 来 确保 彼此 不 受 欺 骗 : 
(1) Alice 将 车 主权 和 钥匙 交 给 律师 。 
(2) Bob 将 支票 交 给 Alice。 
(3) Alice 在 银行 兑现 支票 。 
(4) 在 规定 的 时 间 内 ， 若 证 明 支 票 是 真 的 ， 律 师 将 车 主权 和 钥匙 交 给 Bob; 若 证 明 
支票 是 假 的 ，Alice 将 向 律师 提供 确切 的 证 据 ， 此 后 律师 将 车 主权 和 钥匙 交还 给 Alice. 
在 这 一 协议 中 ，Alice 相信 在 她 弄 清 支票 的 真 伪 之 前 律师 不 会 将 车 主权 交 给 Bob, 一 
旦 发 现 支 票 有 假 ， 律 师 还 会 将 车 主权 归还 她 ，Bob 也 相信 律师 在 支票 兑现 后 ， 将 把 车 主 
权 和 钥匙 交 给 他 。 在 协议 中 ， 律 师 只 起 担保 代理 作用 ， 他 并 不 关心 支票 的 真 伪 。 
银行 也 可 以 充当 仲裁 人 的 角色 。 通 过 执行 以 下 协议 ，Bob 可 以 从 Alice 手中 买 到 车 : 
(1) Bob 开 一 张 支票 并 将 其 交 给 银行 。 
(2) 在 验 明 Bob 的 钱 足 以 支付 支票 上 的 数目 后 ， 银 行将 保 付 支票 交 给 Bob。 
(3) Alice 将 车 主权 和 钥匙 交 给 Bob. 
(4) Bob 将 保 付 支票 交 给 Alice. 
(5) Alice 兑现 支票。 
这 个 协议 是 有 效 的， 因为 Alice 相信 银行 开具 的 证 明 。 同 时 ，Bob 也 相信 银行 不 会 
将 他 的 钱 用 于 其 他 不 正当 的 场合 。 
然而 ， 在 计算 机 领域 中 ， 让 计算 机 充当 仲裁 人 时 ， 会 遇 到 如 下 一 些 新 的 问题 ; 
o 在 计算 机 网 络 中 , 彼此 互 不 信赖 的 通信 双方 进行 通信 时 ， 也 需要 某 台 计算 机 充当 
仲裁 者 。 但 是 ， 由 于 计算 机 网 络 的 复杂 性 ， 使 得 互相 怀疑 的 通信 双方 很 可 能 也 怀 
疑 作为 仲裁 者 的 计算 机 。 
o 在 计算 机 网 络 中 ， 要 设立 一 个 仲裁 者 ， 就 要 像 聘请 律师 一 样 付出 一 定 的 费用 。 然 
而 ， 在 网 络 环境 下 ， 没 有 人 愿意 承担 这 种 额外 的 开销 。 
e 当 协 议 中 引入 仲裁 者 时 ， 会 增加 时 延 。 
于 仲裁 者 需要 对 每 一 次 会 话 加 以 处 理 ， 它 有 可 能 成 为 系统 的 瓶颈 。 在 实现 时 ， 
增加 仲裁 者 的 数目 可 能 会 缓解 这 个 问题 ， 但 是 这 会 增加 系统 的 造价 。 
e 在 网 络 中 ， 由 于 每 个 人 都 必须 信赖 仲裁 者 ， 因 此 它 也 就 成 为 攻击 者 攻击 的 焦点 。 
。 在 具有 仲裁 的 协议 中 ， 仲 裁 人 的 角色 由 Trent 来 担任 。 
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8.1.2 ”裁决 协议 

于 在 协议 中 引入 仲裁 人 会 增加 系统 的 造价 ， 所 以 在 实际 应 用 中 ， 通 常 引入 另外 一 
种 协议 ， 称 为 裁决 协议 。 只 有 发 生 纠纷 时 ， 裁 决 人 才 执行 此 协议 ， 而 无 纠纷 发 生 时 ， 并 
不 需要 裁决 人 的 参与 ， 如 图 8-2 所 示 。 


Alice Bob F====== =>] Trent 


















































证 据 证 据 
图 8-2 裁决 协议 


与 仲裁 人 一 样 ,裁决 人 (adjudicator) 也 是 一 个 公正 的 、 可 信赖 的 第 三 方 。 他 不 像 仲 
裁 者 一 样 直接 参与 协议 。 例 如 ， 法 官 是 职业 裁决 人 。Alice 和 Bob 在 签署 合同 时 ， 并 不 
需要 法 官 的 参与 。 但 是 ， 当 他 们 之 间 发 生 纠纷 时 ， 就 需要 法 官 来 裁决 。 

合同 签署 协议 可 以 规范 地 做 如 下 表述 : 

无 仲裁 的 子 协议 : 

(1) Alice 和 Bob 协商 协议 的 条 款 。 

(2) Alice 签署 这 个 合同 。 

(3) Bob 签署 这 个 合同 。 

裁决 子 协议 : 

(1) Alice 和 Bob 出 现在 法 官 面前 。 

(2) Alice 向 法 官 提供 她 的 证 据 。 

(3) Bob 向 法 官 提供 他 的 证 据 。 

(4) 法 官 根据 双方 提供 的 证 据 进行 裁决 。 

在 计算 机 网 络 环境 下 ， 也 有 裁决 协议 。 这 些 协议 建立 在 各 方 均 是 诚实 的 基础 之 上 。 
但 是 ， 当 有 人 怀疑 发 生 欺 骗 时 ， 可 信赖 的 第 三 方 就 可 以 根据 所 存在 的 某 个 数据 项 判定 是 
和 否 存在 欺骗 。 一 个 好 的 裁决 协议 应 该 能 够 确定 欺骗 者 的 身份 。 注 意 ， 裁 决 协议 只 能 检测 
欺骗 是 否 存在 ， 而 不 能 防止 欺骗 的 发 生 。 

8.1.3 自动 执行 协议 

自动 执行 协议 是 最 好 的 协议 。 协 议 本 身 就 保证 了 公平 性 ， 如 图 8-3 所 示 。 这 种 协议 
不 需要 仲裁 者 的 参与 , 也 不 需要 裁决 者 来 解决 争端 。 如 果 协 议 中 的 一 方 试图 欺骗 另 一 方 ， 
那么 男 一 方 会 立刻 检测 到 该 欺骗 的 发 生 ， 并 停止 执行 协议 。 

Bob 
图 8-3 ”自动 执行 协议 


今天 ， 人 们 越 来 越 多 地 使 用 计算 机 网 络 进行 交流 。 计 算 机 能 够 代替 人 们 完成 要 做 的 
事情 ,但 是 它 必须 按照 事先 设计 的 协议 来 执行 。 人 可 以 对 新 的 环境 做 出 相应 的 反应 ， 而 
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计算 机 却 不 能 。 在 这 一 点 上 ， 计 算 机 几乎 无 灵活 性 可 言 。 

因此 ， 协 议 应 该 对 所 要 完成 的 某 项 任务 的 过 程 加 以 抽象 。 无 论 对 PC 还 是 对 VAX 机 
来 说 ， 所 采用 的 通信 协议 都 是 相同 的 。 这 种 抽象 不 仅 可 以 大 大 提高 协议 的 适应 性 ， 也 可 
以 使 人 们 十 分 容易 地 辨别 协议 的 优 劣 。 协 议 不 仅 应 该 具有 很 高 的 运行 效率 ， 而 且 应 该 具 
有 行为 上 的 完整 性 。 在 设计 协议 时 ， 应 该 考虑 到 完成 某 项 任务 时 可 能 发 生 的 各 种 情况 ， 
并 对 其 做 出 相应 的 反应 。 

因此 ， 一 个 好 的 协议 应 该 具有 以 下 特点 : 

(1) 协议 涉及 的 每 一 方 必须 事先 知道 此 协议 以 及 要 执行 的 所 有 步骤 。 

(2) 协议 涉及 的 每 一 方 必须 同意 遵守 协议 。 

(3) 协议 必须 是 非 模糊 的 。 对 协议 的 每 一 步 都 必须 确切 定义 ， 力 求 做 到 避免 产生 
误解 。 

(4) 协议 必须 是 完整 的 。 对 每 一 种 可 能 发 生 的 情况 都 要 做 出 反应 。 

(5) 每 一 步 操作 要 么 是 由 一 方 或 多 方 进行 计算 ， 要 么 是 在 各 方 之 间 进 行 消息 传递 ， 
二 者 必 居 其 一 。 

许多 面对面 的 协议 依赖 于 人 出 场 来 保证 真实 性 和 安全 性 。 例 如 ， 购 物 时 ， 不 可 能 将 
支票 交 给 陌生 人 ， 与 他 人 玩 扑克 时 ， 必 须 保证 亲眼 看 到 他 洗 牌 和 发 牌 。 然 而 ， 当 通过 计 
算 机 与 远 端 的 用 户 进行 交流 时 ， 真 实 性 和 安全 性 便 无 法 保证 。 实 际 上 ， 不 仅 难以 保证 使 
用 计算 机 网 络 的 所 有 用 户 都 是 诚实 的 ， 而 且 也 难以 保证 计算 机 网 络 的 管理 者 和 设计 者 都 
是 诚实 的 。 只 有 通过 使 用 规范 化 的 协议 ， 才 可 以 有 效 地 防止 不 诚实 的 用 户 对 网 络 实施 的 
各 种 攻击 。 

从 上 面 的 讨论 可 知 ， 计 算 机 网 络 中 使 用 的 好 的 通信 协议 ， 不 仅 应 该 具有 有 效 性 、 公 
平 性 和 完整 性 ， 而 且 应 该 具有 足够 高 的 安全 性 。 通 常 把 具有 安全 性 功能 的 协议 称 为 安全 
协议 。 安 全 协议 的 设计 必须 采用 密码 技术 。 因 此 ， 有 时 也 将 安全 协议 称 做 密码 协议 。 

密码 协议 与 许多 通信 协议 的 显著 区 别 在 于 它 使 用 了 密码 技术 。 在 进行 密码 协议 的 设 
计时 ， 常 常 要 用 到 某 些 密码 算法 。 密 码 协议 所 涉及 的 各 方 可 能 是 相互 信赖 的 ， 也 可 能 彼 
此 互 不 信任 。 当 成 千 上 万 的 用 户 在 网 络 上 进行 信息 交互 时 ， 会 给 网 络 带 来 严重 的 安全 问 
题 。 例 如 ， 非 法 用 户 不 必 对 网 络 上 传输 的 信息 解密 ， 就 可 能 利用 网 络 协议 自身 存在 的 安 
全 缺陷 ， 获 取 合 法 用 户 的 某 些 机 密 信 息 〈 如 用 户口 令 、 密 钥 、 用 户 身 份 号 等 )， 从 而 冒充 
合法 用 户 无 偿 使 用 网 络 资源 ， 或 窃取 网 络 数据 库 中 的 秘密 用 户 文档 。 因 此 ， 设 计 安 全 、 
有 效 的 通信 协议 ， 是 密码 学 和 通信 和 领域 中 一 个 十 分 重要 的 研究 课题 。 密 码 协议 的 目标 不 
仅仅 是 实现 信息 的 加 密 传输 ， 而 更 重要 的 是 为 了 解决 通信 网 的 安全 问题 。 参 与 通信 协议 
的 各 方 可 能 想 分 享 部 分 秘密 来 计算 某 个 值 、 生 成 某 个 随机 序列 、 向 对 方 表明 自己 的 身份 ， 
或 签订 某 个 合同 。 在 协议 中 采用 密码 技术 ， 是 防止 或 检测 非法 用 户 对 网 络 进行 窃听 和 其 
骗 攻 击 的 关键 技术 措施 。 所 谓 协 议 是 安全 的 ， 意 味 着 非法 用 户 不 可 能 从 协议 中 获得 比 协 
议 自身 所 体现 的 更 多 的 、 有 用 的 信息 。 

在 后 面 儿 节 里 ， 将 要 讨论 许多 密码 协议 。 其 中 ， 有 些 协议 是 不 安全 的 ， 可 能 会 导致 
参与 协议 的 一 方 欺骗 男 一 方 。 还 有 一 些 协议 窃听 者 可 以 攻破 或 者 能 从 中 获取 某 些 秘密 信 
息 。 造 成 协议 失败 的 原因 有 多 种 ， 最 主要 的 是 因为 协议 的 设计 者 对 安全 需求 的 定义 研究 
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得 不 够 透彻 , 并 且 对 设计 出 来 的 协议 缺乏 足够 的 安全 性 分 析 。 正 像 密码 算法 的 设计 一 样 ， 
要 证 明 协 议 的 不 安全 性 要 比 证 明 其 安全 性 容易 得 多 。 


82 安全 协议 分 类 及 基本 密码 协议 








迄今 ， 尚 未 有 人 对 安全 协议 进行 过 详细 的 分 类 。 其 实 ， 将 密码 协议 进行 严格 分 类 并 
非 易 事 。 从 不 同 的 角度 出 发 ， 就 有 不 同 的 分 类 方法 。 例 如 ， 根 据 安全 协议 的 功能 ， 可 以 
将 其 分 为 认证 协议 、 密 钥 建立 〈 交 换 、 分 配 ) 协议 、 认 证 的 密 钥 建立 〈 交 换 、 分 配 ) 协 
W: 根据 ISO 的 7 层 参 考 模型 ， 又 可 以 将 其 分 成 高 层 协议 和 低层 协议 ; 按照 协议 中 所 采 
用 的 密码 算法 的 种 类 ， 又 可 以 分 成 双 钥 〈 或 公 钥 ) 协议 、 单 钥 协 议 或 混合 协议 等 。 作 者 
认为 ， 比 较 合理 的 分 类 方法 是 应 该 按照 密码 协议 的 功能 来 分 类 ， 而 不 管 协议 具体 采用 何 
种 密码 技术 。 因 此 ， 把 密码 协议 分 成 以 下 3 类 : 

(1) 密 钥 建立 协议 (Key Establishment Protocol): 通信 双方 建立 共享 秘密 。 

(2) 认证 协议 (Authentication Protocol): 一 个 实体 向 与 其 通信 的 另 一 个 实体 提供 其 
身份 的 可 信 性 。 

(3) 认证 的 密 钥 建立 协议 (Authenticated Key Establishment Protocol): 与 另 一 身份 
已 被 或 可 被 证 实 的 实体 之 间 建 立 共享 秘密 。 

下 面 对 这 3 类 协议 进行 详细 讨论 。 


8.2.1” 密 钥 建立 协议 

密 铀 建立 协议 可 在 两 个 或 多 个 实体 之 问 建立 共享 的 秘密 ， 访 共享 秘密 可 用 于 数据 加 
密 ， 通 常用 做 建立 一 次 通信 时 的 会 话 密 铜 。 下 面 将 主要 讨论 在 两 个 实体 之 问 建 立 共享 秘 
密 的 协议 问题 。 它 可 以 采用 单 钥 、 双 钥 技 术 实现 ， 有 时 也 要 借助 于 可 信赖 第 三 者 的 参与。 
可 以 将 其 扩展 到 多 方 共享 密 铀 ， 如 会 议 密 钥 建 立 ， 但 随 着 参与 方 增多 ， 协 议会 迅速 变 得 
很 复杂 。 

在 保密 通信 中 ， 通 常 对 每 次 会 话 都 采用 不 同 的 密 钥 进行 加 密 。 因 为 这 个 密 钥 只 用 于 
对 某 个 特定 的 通信 会 话 进行 加 密 ， 所 以 被 称 为 会 话 密 铜 。 会 话 密 钥 只 在 通信 的 持续 范围 
内 有 效 ， 当 通信 结束 后 ， 会 话 密 钥 会 被 清除 。 如 何 将 这 些 会 话 密 钥 分 发 到 会 话 者 的 手中 
是 本 节 要 讨论 的 问题 。 

1. 采用 单 钥 体制 的 密 铀 建立 协议 

密 包 建 立 协议 主要 可 分 为 密 铀 传输 协议 和 密 钥 协 商 协议 ， 前 者 是 将 一 个 实体 建立 或 
收 到 的 密 钥 安全 传送 给 另 一 个 实体 ， 而 后 者 是 由 双方 〈 或 多 方 》 共同 提供 信息 建立 起 共 
误 密 钥 ， 任 何 一 方 都 不 起 决定 作用 。 其 他 如 密 钥 更 新 、 密 钥 推 导 、 密 钥 预 分 配 、 动 态 密 
铀 建立 机 制 等 都 可 由 上 述 两 种 基本 密 铀 建立 协议 变化 得 出 。 

可 信赖 服务 器 〈 或 可 信赖 第 三 方 、 认 证 服务 器 、 密 钥 分 配 中 心 KDC、 密 钥 传递 中 心 
KTC、 证 书 发 行 机 构 CA 等 ) 可 以 在 初始 化 建立 阶段 、 在 线 实时 通信 或 两 者 都 有 的 情 
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况 下 参与 密 钥 分 配 。 

这 类 协议 假设 网 络 用 户 Alice 和 Bob 各 自 都 与 密 钥 分 配 中 心 KDC〔 在 协议 中 扮演 
Trent 的 角色 ) 共享 一 个 密 钥 。 这 些 密 钥 在 协议 开始 之 前 必须 已 经 分 发 到 位 。 在 下 面 的 讨 
论 中 ， 并 不 关心 如 何 分 发 这 些 共 享 密 钥 ， 仅 假设 它们 早已 分 发 到 位 ， 而 且 Mallory 对 它 
们 一 无 所 知 。 协 议 描 述 如 表 8-2 所 示 。 

表 8-2 ”采用 单 钥 体制 的 密 钥 建立 协议 
密 钥 建立 协议 一 一 采用 单 钥 体 制 
(1) Alice 呼叫 Trent， 并 请 求 得 到 与 Bob 通信 的 会 话 密 钥 。 
(2) Trent 生成 一 个 随机 会 话 密 铀 ， 并 做 两 次 加 密 : 一 次 是 采用 Alice 的 密 钥 ， 另 一 次 是 采用 Bob 
的 密 钥 。Trent 将 两 次 加 密 的 结果 都 发 送 给 Alice. 
(3) Alice 采用 共享 密 钥 对 属于 她 的 密 文 解密 ， 得 到 会 话 密 钥 。 
(4) Alice 将 属于 Bob 的 那 项 密 文 发 送 给 他 。 
(5) Bob 对 收 到 的 密 文采 用 共享 密 钥 解密 ， 得 到 会 话 密 钥 。 
(6) Alice 和 Bob 均 采 用 该 会 话 密 钥 进 行 安全 通信 。 








此 协议 的 安全 性 ， 完 全 依赖 于 Trent 的 安全 性 。Trent 可 能 是 一 个 可 信赖 的 通信 实 
体 ， 更 可 能 是 一 个 可 信赖 的 计算 机 程序 。 如 果 Mallory 买通 了 Trent， 那 么 整个 网 络 的 
机 密 就 会 泄漏 。 由 于 掌握 了 所 有 用 户 与 Trent 共享 的 密 钥 ，Mallory 就 可 以 阅读 所 有 过 
去 截获 的 消息 和 将 来 的 通信 业务 。 他 只 需 对 通信 线路 搭 线 ， 就 可 以 窃听 所 有 加 密 的 消 
息 流 。 
上 述 协议 存在 的 另外 一 个 问题 是 : Trent 可 能 成 为 影响 系统 性 能 的 瓶颈 ， 因 为 每 次 进 
行 密 钥 交 换 时 ， 都 需要 Trent 的 参与 。 如 果 Trent 出 现 问题 ， 就 会 影响 整个 系统 的 正常 
工作 。 
2. 采用 双 钥 体制 的 密 钥 建 立 协议 
在 实际 应 用 中 ，Bob 和 Alice 常 采用 双 钥 体制 来 建立 某 个 会 话 密 钥 ， 此 后 采用 此 会 
话 密 钥 对 数据 进行 加 密 。 在 某 些 具体 实现 方案 中 ，Bob 和 Alice 的 公 钥 被 可 信赖 的 第 三 
方 签 名 后 ， 存 放 在 某 个 数据 库 中 。 这 就 使 密 钥 建立 协议 变 得 更 加 简单 。 即 使 Alice 从 未 
听 说 过 Bob， 她 也 能 与 其 建立 安全 的 通信 和 联系。 协议 描述 如 表 8-3 所 示 。 
表 8-3 ”采用 双 钥 体制 的 密 钥 建 立 协议 
密 钥 建立 协议 一 一 采用 双 钥 体制 
(1) Alice 从 数据 库 中 得 到 Bob 的 公 钥 。 
(2) Alice 生成 一 个 随机 的 会 话 密 钥 ， 采 用 Bob 的 公 钥 加 密 后 ， 发 送 给 Bob. 
(3) Bob 采用 其 私 钥 对 Alice 的 消息 进行 解密 。 
(4) Bob fil Alice 均 采 用 同一 会 话 密 钥 对 通信 过 程 中 的 消息 加 密 。 





3. 中 间 人 攻击 (Men-in-the-middle Attack) 
当 Eve 找 不 到 比 攻 破 双 钥 算 法 或 对 密 文 实施 唯 密 文 攻击 更 好 的 方法 时 , Mallory 的 攻 
击 显得 更 加 和 危险。 他 不 仅 能 够 窃听 Alice 和 Bob 之 间 交 换 的 消息 ， 而 且 能 够 算 改 消息 ， 
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删除 消息 ， 甚 至 生成 全 新 的 消息 。 当 Bob 与 Alice 会 话 时 ，Mallory 可 以 冒充 Bob; 当 
Alice 与 Bob 会 话 时 ，Mallory 可 以 冒充 Alice。 这 就 是 中 间 人 攻击 。Mallory 对 协议 的 攻 
击 如 下 : 

G) Alice 发 送 她 的 公 钥 给 Bob. Mallory 截获 这 一 公 钥 ， 并 将 他 自己 的 公 钥 发 送 给 
Bob. 

(2) Bob 发 送 他 的 公 钥 给 Alice. Mallory 截获 这 一 公 钥 ， 并 将 他 自己 的 公 钥 发 送 给 
Alice。 

(3) 当 Alice 采用 “Bob” 的 公 钥 对 消息 加 密 并 发 送 给 Bob IY, Mallory 会 截获 到 它 。 
由 于 这 条 消息 实际 上 是 采用 了 Mallory 的 公 钥 进行 加 密 ， 因 此 他 可 以 采用 其 私 钥 进 行 解 
密 ， 并 采用 Bob 的 公 钥 对 消息 重新 加 密 后 发 送 给 Bob. 
(4) 当 Bob 采用 “Alice” 的 公 钥 对 消息 加 密 并 发 送 给 Alice 时 ，Mallory 会 截获 到 它 。 
由 于 这 条 消息 实际 上 是 采用 了 Mallory 的 公 钥 进行 加 密 ， 因 此 他 可 以 采用 其 私 钥 进行 解 
密 ， 并 采用 Alice 的 公 钥 对 消息 重新 加 密 后 发 送 给 Alice。 

即使 Alice 和 Bob 的 公 钥 存放 在 数据 库 中 ， 这 一 攻击 仍然 有 效 。Mallory 可 以 截获 
Alice 的 数据 库 查 询 指令 ， 并 用 其 公 钥 蔡 换 Bob 的 公 钥 。 同 样 ， 他 也 可 以 截获 Bob 的 数 
据 库 查 询 指令 并 用 其 公 钥 替代 Alice 的 公 钥 。 更 为 严重 的 是 , Mallory 可 以 进入 数据 库 中 ， 
将 Alice 和 Bob 的 公 钥 均 替 换 成 他 自己 的 公 钥 。 此 后 ， 他 只 须 等 待 Alice 与 Bob 会 话 ， 
截获 并 算 改 消息 。 

中 间 人 攻击 之 所 以 起 作用 ， 是 因为 Alice 和 Bob 没有 办 法 来 验证 他 们 正在 与 另 一 方 
会 话 。 假设 Mallory 没有 产生 任何 可 以 察觉 的 网 络 时 延 , 那么 Alice 和 Bob 不 会 知道 有 人 
正在 他 们 之 间 阅 读 所 有 的 秘密 信息 。 

4. 联 锁 协 议 

联 锁 协 议 (Interlock Protocol) 由 R. Rivest 和 A. Shamir 设计 [Rivest 等 1984]， 该 协 
议 能 够 有 效 地 抵抗 中 间 人 攻击 。 协 议 描述 如 表 8-4 所 示 。 

表 8-4 SY 






































密 钥 建立 协议 一 一 联 锁 协议 

C1) Alice 发 送 她 的 公 钥 给 Bob. 

(2) Bob 发 送 他 的 公 钥 给 Alice. 

(3) Alice 用 Bob 的 公 钥 对 消息 加 密 。 此 后 ， 她 将 一 半 密 文 发 送 给 Bob. 

(4) Bob 用 Alice 的 公 钥 对 消息 加 密 。 此 后 ， 他 将 一 半 密 文 发 送 给 Alice。 

(5) Alice 发 送 另 一 半 密 文 给 Bob. 

(6) Bob 将 Alice 的 两 半 密 文 组 合 在 一 起 ， 并 采用 其 私 钥 解密 。Bob 发 送 他 的 另 一 半 密 文 给 Alice。 
(7) Alice 将 Bob 的 两 半 密 文 组 合 在 一 起 ， 并 采用 其 私 钥 解密 。 


这 个 协议 最 重要 的 一 点 是 : 当 仅 获得 一 半 而 没有 获得 另 一 半 密 文 时 ， 这 些 数 据 对 攻 
击 者 来 说 毫 无 用 处 ， 因 为 攻击 者 无 法 解密 。 在 第 〈6) 步 以 前 ，Bob 不 可 能 读 到 Alice 的 
任何 一 部 分 消息 。 在 第 (7) 步 以 前 ，Alice 也 不 可 能 读 到 Bob 的 任何 一 部 分 消息 。 要 做 
到 这 一 点 ， 有 以 下 几 种 方法 : 
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(1) 如 果 加 密 算法 是 一 个 分 组 加 密 算法 , 每 一 半 消 息 可 以 是 输出 的 密 文 分 组 的 一 半 。 

(2) 对 消息 解密 可 能 要 依赖 于 某 个 初始 化 矢量 ， 该 初始 化 矢量 可 以 作为 消息 的 第 二 
半 发 送 给 对 方 。 

G) 发 送 的 第 一 半 消 息 可 以 是 加 密 消 息 的 单 向 杂凑 函数 值 ， 而 加 密 的 消息 本 身 可 以 
作为 消息 的 另 一 半 。 

现在 来 分 析 Mallory 是 如 何 对 此 协议 进行 攻击 的 。Mallory 仍然 可 以 在 第 (1) 和 (2) 
GP ALI A ER Alice 和 Bob 的 公 钥 。 但 是 现在 ， 当 他 在 第 (3) 步 中 截获 到 Alice 
的 一 半 消 息 时 ， 他 既 不 能 对 其 解密 ， 也 不 能 用 Bob 的 公 钥 重新 加 密 。 他 必须 产生 一 个 全 
新 的 消息 ， 并 将 其 一 半 发 送 给 Bob。 当 他 在 第 (4) 步 中 截获 Bob 发 给 Alice 的 一 半 消 息 
时 ， 他 会 遇 到 相同 的 问题 ， 即 : 他 既 不 能 对 其 解密 ， 也 不 能 用 Alice 的 公 钥 重新 加 密 。 
他 必须 产生 一 个 全 新 的 消息 ， 并 将 其 一 半 发 送 给 Alice。 当 Mallory 在 第 (5) 和 (6) 步 
中 截获 到 真正 的 第 二 半 消 息 时 ， 对 他 来 说 为 时 已 晚 ， 以 至 于 来 不 及 对 前 面 伪造 的 消息 进 
行 修改 。Alice 和 Bob 会 发 现 这 种 攻击 ， 因 为 他 们 谈话 的 内 容 与 伪造 的 消息 有 可 能 完全 
不 同 。 

Mallory 也 可 以 不 采用 这 种 攻击 方法 。 如 果 他 非常 了 解 Alice 和 Bob， 他 就 可 以 假冒 
其 中 一 人 与 男 一 人 通话 ， 而 他 们 绝 不 会 想到 正在 受骗 。 但 这 样 做 肯定 要 比 充当 中 间 人 
更 难 。 


5. 采用 数字 签名 的 密 钥 交 换 

在 会 话 密 钥 交换 协议 中 采用 数字 签名 技术 ， 可 以 有 效 地 防止 中 间 人 攻击 。Trent 是 一 
个 可 信赖 的 实体 ， 他 对 Alice 和 Bob 的 公 钥 做 数字 签名 。 签 名 的 公 钥 中 包含 一 个 所 有 权 
证 书 。 当 Alice 和 Bob 收 到 此 签名 公 钥 时 ， 他 们 每 人 均 可 以 通过 验证 Trent 的 签名 来 确定 
公 钥 的 合法 性 ， 因 为 Mallory 无 法 伪造 Trent 的 签名 。 

这 样 一 来 ，Mallory 的 攻击 就 变 得 十 分 困难 : 他 不 能 实施 假冒 攻击 ， 因 为 他 既 不 知道 
Alice 的 私 钥 ， 也 不 知道 Bob 的 私 钥 ， 他 也 不 能 实施 中 间 人 攻击 ， 因 为 他 不 能 伪造 Trent 
的 签名 。 即 使 他 能 够 从 Trent 那里 获得 一 个 签名 公 钥 ，Alice 和 Bob 也 很 容易 发 现 该 公 钥 
属于 他 。 Mallory 能 做 的 只 有 窃听 往来 的 加 密 报 文 , 或 者 干扰 通信 线路 , 阻止 Alice 与 Bob 

这 一 协议 中 引入 了 Trent 这 个 角色 。 然 而 ， 密 钥 分 配 中 心 (KDC) 遭 到 攻击 、 汇 漏 
秘密 的 风险 要 比 第 一 个 协议 小 得 多 .如果 Mallory 侵 入 了 KDC, 他 能 够 得 到 的 仅仅 是 Trent 
的 私 钥 。Mallory 可 以 利用 这 一 私 钥 给 用 户 签发 新 的 公 钥 ， 但 不 能 用 其 解密 任何 会 话 密 钥 
或 阅读 任何 报 文 。 要 想 阅 读 报 文 ，Mallory 必须 假冒 某 个 合法 网 络 用 户 ， 并 欺骗 其 他 合法 
用 户 采 用 Mallory 的 公 钥 对 报 文 加 密 。 

一 旦 Mallory 获得 了 Trent 的 私 铀 ， 他 就 能 够 对 协议 发 起 中 间 人 攻击 。 他 采用 Trent 
的 私 钥 对 一 些 伪造 的 公 钥 签名 。 此 后 ， 他 或 者 将 数据 库 中 Alice 和 Bob 的 真正 公 钥 换 掉 ， 
或 者 截获 用 户 的 数据 库 访问 请 求 ， 并 用 伪造 的 公 钥 响应 该 请 求 。 这 样 ， 他 就 可 以 成 功 地 
发 起 中 间 人 攻击 ， 并 阅读 他 人 的 通信 。 

这 一 攻击 是 奏效 的 , 但 是 前 提 条 件 是 Mallory 必须 获得 Trent 的 私 钥 ， 并 对 加 密 消息 
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进行 截获 或 自 改 。 在 某 些 网 络 环境 下 ， 这 样 做 显然 要 比 在 两 个 用 户 之 间 实 施 被 动 的 窃听 


攻 
但 


hy 


E, 
7E 


难得 多 。 对 于 像 无 线 网 络 这 样 的 广播 信道 来 说 , 尽管 可 以 对 整个 网 络 实施 干扰 破坏 ， 
要 想 用 一 个 消息 取代 另 一 个 消息 几乎 是 不 可 能 的 。 对 于 计算 机 网 络 来 说 ， 这 种 攻击 


要 容易 得 多 ， 而 且 随 着 技术 的 发 展 ， 这 种 攻击 变 得 越 来 越 容易 。 考 虑 到 现存 的 IP 欺骗 、 


路 

















器 攻击 等 ， 主 动 攻击 并 不 意味 着 非 要 对 加 密 的 报 文 解密 ， 也 不 只 限于 充当 中 间 人 。 





此 外 ， 还 有 许多 更 加 复杂 的 攻击 需要 研究 。 


6. 密 钥 和 消息 传输 
Alice 和 Bob 不 必 先 完成 密 钥 交换 协议 ， 再 进行 信息 交换 。 在 下 面 的 协议 中 ，Alice 


在 事先 没有 执行 密 钥 交换 协议 的 情况 下 ， 将 消息 M 发 送 给 Bob， 协 议 描述 如 表 8-5 
所 示 。 


表 8-5 采用 单 钥 与 双 钥 混合 体制 的 密 钥 建 立 协议 


密 钥 建立 协议 一 一 单 钥 与 双 钥 体制 混合 协议 

C1) Alice 生成 一 随机 数 作为 会 话 密 钥 ， 并 用 其 对 消息 M 加 密 : Ex (M)o 
(2) Alice 从 数据 库 中 得 到 Bob 的 公 钥 。 

(3) Alice 用 Bob 的 公 钥 对 会 话 密 钥 加 密 : Es (K)。 

(4) Alice 将 加 密 的 消息 和 会 话 密 钥 发 送 给 Bob: Ex(M), Ep(K)o 

* 为 了 提高 协议 的 安全 性 以 对 付 中 间 人 攻击 ，Alice 可 以 对 这 条 消息 签名 。 
(5) Bob 采用 其 私 钥 对 Alice 的 会 话 密 钥 解 密 。 

(6) Bob 采用 这 一 会 话 密 钥 对 Alice 的 消息 解密 。 


这 一 协议 中 既 采 用 了 双 钥 体制 ， 也 采用 了 单 钥 体 制 。 这 种 混合 协议 在 通信 系统 中 经 


常用 到 。 一 些 协 议 还 常常 将 数字 签名 、 时 蕉 和 其 他 密码 技术 结合 在 一 起 。 


7. 密 钥 和 消息 广播 
在 实际 应 用 中 ，Alice 也 可 能 将 消息 同时 发 送 给 几 个 人 。 在 下 面 的 例子 中 ，Alice 将 


加 密 的 消息 同时 发 送 给 Bob, Carol 和 Dave: 


(1) Alice 生成 一 随机 数 作为 会 话 密 钥 K， 并 用 其 对 消息 M 加密: E,(M) 。 

(2) Alice 从 数据 库 中 得 到 Bob, Carol 和 Dave 的 公 钥 。 

(3) Alice 分 别 采用 Bob, Carol 和 Dave 的 公 钥 对 天 加 密 : Es(K)、Ec(K)、Eb(K)。 
(4) Alice 广播 加 密 的 消息 和 所 有 加 密 的 密 钥 ， 将 它们 传送 给 要 接收 的 人 。 

(5) 仅 有 Bob, Carol 和 Dave 能 采用 各 自 的 私 钥 解 密 求 出 会 话 密 钥 KK。 

(6) 仅 有 Bob, Carol 和 Dave 能 采用 此 会 话 密 钥 K 对 消息 解密 求 出 M。 

这 一 协议 可 以 在 存储 转发 网 络 上 实现 。 中 央 服 务 器 可 以 将 Alice 的 消息 和 各 自 的 


加 密 密 钥 一 起 转发 给 他 们 。 服 务 器 不 必 是 安全 的 和 可 信赖 的 ， 因 为 它 不 能 解密 任何 
消息 。 





8. Diffie-Hellman 密 钥 交 换 协 议 
Diffie-Hellman 算法 是 在 1976 年 提出 的 [Diffie 等 1976a]。 它 是 第 一 个 双 钥 算法 ， 其 


安全 性 基于 在 有 限 域 上 计算 离散 对 数 的 难度 。Diffie-Hellman 协议 可 以 用 做 密 钥 交换 ， 
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Alice 和 Bob 可 以 采用 这 个 算法 共享 一 个 秘密 的 会 话 密 钥 ， 但 不 能 采用 它 来 对 消息 进行 
加 密 或 解密 。 
该 协议 的 原理 十 分 简单 。 首 先 ，Alice 和 Bob 约定 两 个 大 的 素数 ，n 和 g， 使 得 g 是 
群 (0，…，n-1)〉 上 的 本 原 元 。 这 两 个 整数 不 必 保密 ，Alice 和 Bob 可 以 通过 不 安全 的 
信道 传递 它们 。 即 使 许多 用 户 知道 这 两 个 数 ， 也 没有 关系 。 协 议 描述 如 表 8-6 所 示 。 
表 8-6 Diffie-Hellman 密 钥 交 换 协议 

Diffie-Hellman 密 钥 交 换 协 议 

A) Alice 选择 一 个 随机 的 大 整数 x， 并 向 Bob 发 送 以 下 消息 : X=g*mod n- 

(2) Bob 选择 一 个 随机 的 大 整数 >， 并 向 Alice 发 送 以 下 消息 : Y=g” mod no 

(3) Alice 计算 : K=Y* mod n。 

(4) Bob 计算 : K'SX” mod no 


至 此 , KK 和 大 ' 均 等 于 g? modno (EMA UTI SYA ET SEE BIA, RIEBE 
者 能 够 计算 离散 对 数 来 得 到 x 和 y， 否 则 它们 无 法 获得 该 密 钥 。 所 以 , K 可 以 被 Alice 和 
Bob 用 做 会 话 密 钥 。 

g 和 n 的 选择 对 于 系统 的 安全 性 有 着 根本 的 影响 。(n 一 1)/2 应 该 是 素数 [Pohlig 等 
1978]， 最 重要 的 是 n 应 该 足够 大 。 这 样 ， 系 统 的 安全 性 就 基于 分 解 与 n 具有 同样 长 度 的 
数 的 难度 。 可 以 选择 g 使 得 g 是 群 (0，…，m-1》 上 的 本 原 元 ， 也 可 以 选择 最 小 的 g Gil 
常 只 有 1 位 数 )。 实 际 上 ，g 不 一 定 必须 是 本 原 元 ， 只 要 用 它 能 够 生成 乘 群 (0，…，n-1) 
的 一 个 大 子 群 即 可 。 

Diffie-Hellman 的 密 钥 交 换 协议 可 以 很 容易 地 扩展 到 多 个 用 户 的 情况 , 该 算法 也 可 以 
从 乘 群 上 扩展 到 交换 环 上 [Pohlig 等 1978]。Z. Shmuley 和 K. McCurley 提出 了 该 算法 的 
另外 一 种 形式 ， 其 中 模 是 一 个 大 合 数 [Shmuley 1985; McCurley 1988]。V. S. Miller 和 
N. Koblitz 将 这 一 算法 扩展 到 椭圆 曲线 上 [Miller 1985; Koblitz 1987]. T. ElGamal 利用 
这 一 算法 的 思想 设计 了 一 种 加 密 和 数字 签名 算法 〈 见 7.4 节 )。 

这 一 算法 也 可 以 在 伽 罗 华 域 GF(24) 上 实现 [Shmuley 1985; McCurley 1988]。 由 于 
在 伽 罗 华 域 上 进行 指数 运算 很 快 ， 所 以 现实 中 的 许多 设计 均 采 用 这 一 方法 。 同 样 ， 在 对 
算法 进行 密码 分 析 时 运算 速度 也 会 很 快 ， 因 此 对 我 们 来 说 ， 重 要 的 是 应 该 细心 选择 一 个 
足够 大 的 域 ， 以 保证 系统 的 安全 性 。 


8.2.2 ”认证 建立 协议 


如 第 6 章 所 述 , 认 证 包含 消息 认证 、 数 据 源 认证 和 实体 认证 (身份 识别 )， 用 以 防止 
欺骗 、 伪 装 等 攻击 。 有 关 技 术 算 法 前 面 已 经 介绍 ， 这 里 讨论 实现 认证 的 各 种 协议 。 

当 Alice 登录 到 某 个 主机 (或 者 某 个 自动 取款 机 、 电 话 银行 系统 或 其 他 任何 类 型 
的 终端 ) 时 , 主机 如 何 知道 她 是 谁 呢 ?主机 怎么 才能 知道 她 不 是 Eve RE Alice 的 身 
份 ? 传统 的 方法 是 采用 口令 来 解决 这 个 问题 。Alice 输入 她 的 口令 ， 主 机 确认 口令 是 
正确 的 。 Alice 和 主机 都 知道 这 一 秘密 。 每 次 登录 时 , 主机 都 要 求 Alice 输入 她 的 口令 。 
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1. 采用 单 向 函数 的 认证 协议 

R. Needham 和 M. Guy 等 指出 : 在 对 Alice 进行 认证 时 ， 主 机 无 须知 道 其 口令 。 
它 只 需 能 够 辨别 Alice 提交 的 口令 是 否 有 效 。 这 很 容易 通过 采用 单 向 函数 来 实现 。 
主机 不 必 存 储 Alice 的 口令 ， 它 只 需 存 储 该 口令 的 单 向 函数 值 。 协 议 描 述 如 表 8-7 
所 示 。 














表 8-7 采用 单 向 函数 的 认证 协议 
采用 单 向 函数 的 认证 协议 
A) Alice 向 主机 发 送 她 的 口令 。 
(2) 主机 计算 该 口令 的 单 向 函数 值 。 
(3) 主机 将 计算 得 到 的 单 向 函数 值 与 预先 存储 的 值 进 行 比 较 。 


于 主机 不 需要 再 存储 各 用 户 的 有 效 口令 表 ， 减 轻 了 攻击 者 侵入 主机 和 窃取 口令 清 
单 的 威胁 。 攻 击 者 窃取 口令 的 单 向 函数 值 将 毫 无 用 处 ， 因 为 他 不 可 能 从 单 向 函数 值 中 反 
向 推出 用 户 的 口令 。 


2. 字典 攻击 和 挨 杂 

一 个 采用 单 向 函数 加 密 的 口令 文件 仍然 易 遭 受 攻击 .Mallory 可 以 编制 100 万 个 最 常 
用 的 口令 ， 然 后 用 单 向 函数 对 所 有 这 些 口 令 加 密 并 存储 密 文 。 若 每 个 口令 为 8 字 节 ， 那 
么 密 文 不 会 超过 8MB。 此 后 ，Mallory 可 以 窃取 某 个 加 密 的 口令 文件 ， 并 与 他 存储 的 密 
文 相 比 较 ， 看 有 哪些 密 文 重合 。 这 种 方法 被 称 为 字典 攻击 。 事 实证 明 ， 这 种 攻击 方法 十 
分 有 效 。 

掺 杂 是 一 种 使 字典 攻击 变 得 更 加 困难 的 方法 。 掺 杂 是 一 个 伪 随 机 序列 ， 常 常 将 其 与 
口令 级 联 后 再 采用 单 向 函数 加 密 。 此 后 ， 将 掺 杂 值 和 密 文 一 起 存储 于 主机 的 数据 库 中 。 
如 果 掺 杂 值 的 空间 足够 大 ， 就 会 大 大 削弱 字典 攻击 的 成 功 概率 ， 因 为 Mallory 必须 对 每 
个 可 能 的 掺 杂 值 加 密 ， 生 成 一 个 单 向 杂凑 值 。 

这 里 需要 弄 清 的 一 点 是 ， 当 Mallory 试图 攻破 某 个 人 的 口令 时 ， 他 必须 试 着 对 字典 
中 的 每 个 口令 进行 加 密 ， 而 不 是 针对 所 有 的 口令 进行 大 量 的 预计 算 。 

许多 UNIX 系统 仅 采 用 12b WA. BEWE, Daniel Klein 通过 一 个 口令 揣测 程 
Fe, 在 一 周 之 内 便 可 以 破译 任何 一 台 主 机 上 40% 的 口令 [Klein 1990]. David Feldmeier 
和 Phlip Karn 收集 了 大 约 73.2 万 个 常用 的 口令 ， 每 个 口令 均 与 4096 个 可 能 的 Salt 值 
相 级 联 。 他 们 估计 采用 这 一 口令 表 ， 对 任意 一 台 给 定 的 主机 ， 有 30% 的 口令 可 以 被 
攻破 。 

然而 ， 掺 杂 并 不 是 万 灵 药 ， 仅 靠 增加 掺 杂 比 特 的 数目 并 不 会 解决 所 有 的 问题 。 挫 杂 
仅 能 抗击 对 口令 文件 的 一 般 字 典 攻 击 ， 而 不 能 抗击 对 单一 口令 的 预定 攻击 。 它 可 以 保护 
人 们 在 多 台 计 算 机 上 使 用 同一 口令 ， 却 不 能 使 选择 的 坏 口 令 变 得 更 安全 。 

3. SKEY 认证 程序 

SKEY 是 一 个 认证 程序 ， 它 的 安全 性 取决 于 所 采用 的 单 向 函数 。 它 的 工作 原理 如 下 : 

开始 时 ，Alice 输入 一 个 随机 数 R. 计算 机 计算 F(R), FORY, f(f(f(R))) 等 100 次 ， 
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将 其 记 为 4,x,,…, Xxioo。 之 后 ， 计 算 机 打印 出 这 些 数 的 清单 ， 并 安全 保存 。 同 时 计算 
机 也 将 Xio, 和 Alice 的 姓名 一 起 存放 在 某 个 登录 数据 库 中 。 
在 Alice 首次 登录 时 ， 输 入 其 姓名 和 xm 。 计 算 机 计算 f(xo。)， 并 将 其 与 存储 在 数据 
库 中 的 值 Xio 加 以 比较 ;如果 它们 相等 ，Alice 就 通过 认证 。 然 后 ， 计 算 机 用 xo 将 数据 
库 中 的 mw 取代 ; Alice 也 将 xmo 从 她 的 清单 中 去 掉 。 

每 次 登录 时 ，Alice 输入 清单 中 最 后 一 个 未 被 去 掉 的 数 5 。 计 算 机 计算 f(x,) ， 并 将 
其 与 存储 在 数据 库 中 的 xi 进行 比较 。 由 于 每 个 数 仅 用 一 次 ， 而 且 函 数 是 单 向 的 ，Eve 
不 能 得 到 任何 有 用 的 信息 。 同 样 ， 数 据 库 对 于 攻击 者 来 说 仍然 有 用 。 当 然 ， 当 Alice 上 
完了 清单 中 的 数 时 ， 她 必须 重新 对 该 系统 进行 初始 化 。 


4. 采用 双 钥 体制 的 认证 
HERH THA, K 8-7 描述 的 协议 仍然 存在 严重 的 安全 问题 。 当 Alice 向 主机 发 送 
口令 时 ， 接 入 其 数据 通道 的 任何 人 均 可 以 阅读 到 此 口令 。 她 也 许 通 过 某 个 复杂 的 传输 通 
道 访问 她 的 主机 ， 而 这 个 通道 可 能 要 经 过 4 个 工业 集团 、3 个 国家 和 两 所 大 学 。Eve 可 能 
就 正在 其 中 的 任何 一 个 节点 上 来 窃听 Alice 的 登录 序列 。 如 果 Eve 能 够 接 入 到 主机 的 处 
理 器 内 存 ， 他 就 会 抢 在 主机 对 口令 做 杂凑 运算 之 前 看 到 该 口令 。 
采用 双 钥 密码 体制 可 以 解决 这 个 问题 。 主 机 保留 每 个 用 户 的 公 角 文件， 所 有 的 用 户 
保留 他 们 各 自 的 私 铀 。 协 议 描述 如 表 8-8 所 示 。 
表 8-8 采用 双 钥 体制 的 认证 协议 
认证 协议 一 一 采用 双 钥 体制 
(1) 主机 向 Alice 发 送 一 随机 数 。 
(2) Alice 用 其 私 钥 对 此 随机 数 加密 ， 并 将 密 文 连同 其 姓名 一 起 发 送 给 主机 。 
G) 主机 在 它 的 数据 库 中 搜索 Alice 的 公 钥 ， 并 采用 此 公 钥 对 收 到 的 密 文 解密 。 
(4) 如 果 解 密 得 到 的 消息 与 主机 首次 发 给 Alice 的 数值 相等 ， 主 机 就 允许 Alice 对 系统 进行 访问 。 



































日 于 无 人 能 够 访问 Alice 的 私 钥 ， 所 以 也 就 无 人 能 够 假冒 Alice。 最 重要 的 是 ，Alice 
永远 不 会 将 其 私 钥 发 给 主机 。 即 使 Eve 可 以 窃听 到 Alice 与 主机 之 间 的 会 话 ， 他 也 不 能 
获得 可 以 用 来 推出 私 钥 并 冒充 Alice 的 任何 信息 。 

Alice 的 私 钥 不 但 很 长 ， 而 且 难 以 记忆 。 它 可 能 由 用 户 的 硬件 产生 ， 也 可 能 由 用 户 的 
软件 产生 ， 只 要 求 Alice 拥有 一 个 可 信赖 的 智能 终端 ， 并 不 要 求 主机 必须 是 安全 的 ， 也 
不 要 求 通信 通道 必须 是 安全 的 。 

实际 中 ， 对 数据 串 的 选择 必须 十 分 谨慎 。 不 仅 是 因为 存在 不 可 信赖 的 第 三 方 问题 ， 
而 且 还 存在 其 他 类 型 的 有 效 攻击 。 因 此 ， 安 全 的 身份 证 明 协 议 常 采 用 以 下 更 加 复杂 的 
形式 : 

(1) Alice 基于 某 些 随机 数 和 其 私 钥 进 行 加 密 运 算 ， 并 将 结果 送 给 主机 。 

(2) 主机 向 Alice 发 送 另 外 一 个 随机 数 。 

(3) Alice 基于 随机 数 (她 自己 生成 的 一 些 随机 数 和 收 到 来 自主 机 的 某 个 随机 数 ) 以 
及 她 的 私 钥 进行 计算 ， 并 将 结果 发 给 主机 。 
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(4) 主机 采用 Alice 的 公 钥 对 收 到 的 数值 进行 解密 ， 看 Alice 是 否 知道 她 的 私 钥 。 

(5) 若 Alice 确实 知道 她 的 私 钥 ， 那 么 她 的 身份 就 得 以 确认 。 

WR Alice 并 不 信赖 主机 ， 那 么 她 就 要 求 主机 以 同样 的 方式 来 证 明 其 身份 。 

协议 的 第 (1) 步 看 起 来 似乎 没有 必要 或 者 令 人 费解 ， 然 而 却 是 抵抗 攻击 者 对 协议 攻 
击 所 必需 的 步骤 [Lamport 1981]. 


5. 采用 联 锁 协议 的 双向 认证 

Alice 和 Bob 是 两 个 想 要 进行 相互 认证 的 用 户 。 每 个 人 都 有 一 个 对 方 已 知 的 口令 : 
Alice HA P,» Bob 具有 PP。 下 面 是 一 个 不 安全 的 协议 : 

(1) Alice 和 Bob 相互 交换 公 钥 。 

(2) Alice 用 Bob 的 公 钥 对 P, 加 密 ， 并 将 结果 送 给 Bob. 

(3) Bob 用 Alice 的 公 钥 对 P 加密 ， 并 将 结果 送 给 Alice. 

(4) Alice 对 在 〈3) 中 收 到 的 消息 解密 ， 并 验证 其 是 否 正确 。 

(5) Bob 对 在 (D 中 收 到 的 消息 解密 ， 并 验证 其 是 否 正 确 。 

Mallory 可 以 对 上 面 的 协议 成 功 地 实施 中 间 人 攻击 。 攻 击 方法 如 表 8-9 所 示 。 

表 8-9 中 间 人 攻击 








中 间 人 攻击 

(1) Alice 和 Bob 相互 交换 公 钥 。Mallory 可 以 截获 通信 双方 的 公 钥 Py 和 Py, (HH HE 
换 掉 Bob 的 公 铜 ， 并 将 其 发 送 给 Alice。 然 后 ， 他 用 自己 的 公 钥 替换 掉 Alice 的 公 钥 ， 并 将 其 
发 送 给 Bob。 

(2) Alice 用 “Bob” 的 公 钥 对 P 加密 ， 并 将 其 发 送 给 Bob。Mallory 可 以 截获 这 一 消息 ， 并 用 其 
私 钥 解密 求 出 Py FHH Bob 的 公 钥 重新 对 Py 加 密 ， 并 将 结果 发 送 发 给 Bob。 

(3) Bob 用 “Alice” 的 公 钥 对 Pp 加密， 并 将 其 发 送 给 Alice. Mallory 可 以 截获 这 一 消息 ， 并 用 其 
私 钥 解密 求 出 Pap， 再 用 Alice 的 公 钥 重新 对 Ps 加密 ， 并 将 结果 发 送 发 给 Alice。 

(4) Alice 解密 求 出 Pap， 并 验证 其 是 否 正 确 。 

(5) Bob 解密 求 出 P4， 并 验证 其 是 否 正确 。 


在 Alice 和 Bob 看 来 ， 此 认证 过 程 并 没有 什么 不 妥 。 然 而 ， 对 于 Mallory 来 说 ， 他 可 
以 获得 通信 双方 的 口令 P All P, 。 

D. Davies 和 W. Price 描述 了 如 何 利用 联 锁 协 议 挫败 这 一 攻击 [Davies 等 1989]. 
S. Bellovin 和 M. Merritt 讨论 了 攻击 这 一 协议 的 方法 [Bellovin 等 1994]。 如 果 Alice 是 一 
个 用 户 ， 而 Bob 是 一 个 主机 ，Mallory 可 以 假装 成 Bob， 与 Alice 一 起 完成 协议 的 开头 几 
步 ， 然 后 断 掉 与 Alice 的 连接 。Mallory 通过 模拟 线路 噪声 或 网 络 故 障 来 欺骗 对 方 ， 结 果 
是 Mallory 获得 了 Alice 的 口令 。 此 后 ， 他 与 Bob 建立 连接 并 完成 协议 ， 最 终 获 得 Bob 
的 口令 。 

协议 可 以 做 进一步 的 修改 : 假设 用 户 的 口令 比 主机 的 口令 更 加 敏感 ， 此 时 Bob 先 于 
Alice 给 出 他 的 口令 。 修 改 后 的 协议 可 能 遭受 更 加 复杂 的 攻击 [Bellovin 等 1994]。 
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6. SKID 身份 识别 协议 
SKID2 和 SKID3 是 采用 单 钥 体 制 构造 的 身份 识别 协议 , 它们 是 为 RACE 的 RIPE it 
划 而 开发 的 [RACE 1992]。 它 们 采用 了 消息 认证 码 MAC 来 提供 安全 性 ， 并 且 假 设 Alice 
和 Bob 共享 一 个 密 钥 K. 
SKID2 允许 Bob 向 Alice 提供 其 身份 。SKID3 提供 了 Alice 和 Bob 之 间 的 双向 认证 。 
协议 如 表 8-10 所 示 。 
表 8-10 ”SKID2、SKID3 身份 识别 协议 
SKID2 身份 识别 协议 
(1) Alice 选择 随机 数 Ry CHE RIPE 文件 中 规定 其 为 64bit) ， 并 将 其 发 送 给 Bob. 
(2) Bob 选择 随机 数 Re (在 RIPE 文件 中 规定 其 为 64bit) ， 并 发 送 给 Alice 消息 : Rs，Hx(R4， 
Ras，B)。 其 中 ，Hx 是 消息 认证 码 (MAC)， 在 RIPE 文件 中 建议 MAC 采用 RIPE-MAC 函数 ， 
Bie Bob 的 姓名 识别 符 。 
(3) Alice 计算 Hx (R4，Rs，B)， 并 将 其 与 收 到 的 来 自 Bob 的 值 进 行 比较 。 如 果 两 值 相等 ， 那 么 
Alice 知道 她 正在 与 Bob 通信 。 
SKID3 身份 识别 协议 
步骤 (D) 一 (3) 等 同 于 SKID2， 附 加 了 以 下 两 步 : 
(1) Alice 向 Bob 发 送 消息 : Hx(Rgp，4)。 其 中 ，4 是 Alice 的 姓名 识别 符 。 
(2) Bob 计算 Hx(Rs，4)， 并 与 收 到 的 来 自 Alice 的 值 进 行 比较 。 如 果 相 等 ， 那 么 他 知道 他 正在 与 
Alice 进行 通信 。 
对 于 中 间 人 攻击 来 说 ， 这 一 协议 并 不 安全 。 一 般 来 说 ， 中 间 人 攻击 能 够 攻破 不 涉及 
某 种 秘密 的 任何 协议 。 
7. 消息 认证 
当 Bob 收 到 来 自 Alice 的 消息 时 , 他 如 何 来 判断 这 条 消息 是 真 的 ? 如 果 Alice 对 这 条 
消息 进行 数字 签名 ,那么 事情 就 变 得 十 分 容易 了 。Alice 的 数字 签名 足以 提示 任何 人 她 签 
发 的 这 条 消息 是 真 的 。 
单 钥 密 码 体制 也 可 以 提供 某 种 认证 。 当 Bob 收 到 某 条 采用 共享 密 钥 加 密 的 消息 时 ， 
他 便 知道 此 条 消息 来 自 Alice。 然 而 ，Bob 却 不 能 向 Trent 证 明 这 条 消息 来 自 Alice。Trent 
只 能 知道 这 条 消息 来 自 Bob 或 者 来 自 Alice 因为 没有 其 他 任何 人 知道 他 们 的 共享 密 钥 )， 
但 分 不 清 这 条 消息 究 竞 是 谁 发 出 的 。 
如 果 不 采 用 加 密 ，Alice 也 可 以 采用 消息 认证 码 MAC 的 方法 。 采 用 这 种 方法 也 可 以 
提示 Bob 有 关 消 息 的 真 伪 ， 但 它 存 在 着 与 采用 单 钥 加 密 体制 相同 的 问题 。 
8.2.3 ”认证 的 密 钥 建立 协议 
这 类 协议 将 认证 与 密 钥 建立 结合 在 一 起 ， 用 于 解决 计算 机 网 络 中 普遍 存在 的 这 样 一 
个 问题 : Alice 和 Bob 是 网 络 的 两 个 用 户 ， 他 们 想 通 过 网 络 进行 安全 通信 。 那 么 Alice 和 
Bob 如 何 才 能 做 到 在 进行 密 钥 交 换 的 同时 ， 确 信 她 或 他 正在 与 男 一 方 而 不 是 Mallory 通 
信 呢 ? 单纯 的 密 钥 建立 协议 有 时 还 不 足以 保证 在 通信 双方 之 间 安 全 地 建立 密 钥 ， 与 认证 
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相 结合 能 可 靠 地 确认 双方 的 身份 ， 实 现 安全 密 钥 建立 ， 使 参与 双方 〈 或 多 方 ) 确信 没有 
其 他 人 可 以 共享 该 秘密 。 密 钥 认证 分 为 3 种 : 

(1) Bast implicit) 密 钥 认 证 : 若 参 与 者 确信 可 能 与 他 共享 一 个 密 钥 的 参与 者 的 身 
份 时 ， 第 二 个 参与 者 无 须 采 取 任 何 行动 。 

(2) 密 钥 确证 (Key Confirmation): 一 个 参与 者 确信 第 二 个 可 能 未 经 识别 参与 者 
确实 具有 某 个 特定 密 钥 。 

(3) 显 式 〈Explicit) 密 钥 认证 : 已 经 识别 的 参与 者 具有 给 定 密 钥 。 它 具有 隐 式 和 密 
钥 确 证 双重 特征 。 

密 钥 认 证 的 中 心 问题 是 识别 第 二 参与 者 ， 而 不 是 识别 密 钥 值 ， 而 密 钥 确证 则 恰好 相 
反 ， 是 对 密 钥 值 的 认证 。 密 钥 确证 通常 包含 了 从 第 二 参与 者 送 来 的 消息 ， 其 中 含有 证 据 
稍 后 可 证 明 密 钥 的 主权 人 。 事 实 上 密 钥 的 主权 人 可 以 通过 多 种 方式 来 证 明 ， 如 生成 密 钥 
本 身 的 一 个 单 向 杂凑 值 、 采 用 密 钥 控 制 的 杂凑 函数 以 及 采用 密 钥 加 密 一 个 已 知 量 等 。 这 
些 技术 可 能 会 泄漏 一 些 有 关 密 钥 本 身 的 信息 ， 而 用 零 知 识 证 明 技术 可 以 证 明 密 钥 的 主权 
人 但 不 会 泄漏 有 关 密 钥 的 任何 信息 。 

并 非 所 有 协议 都 要 求实 体 认 证 ， 有 些 密 钥 建立 协议 〈 如 非 认 证 的 Diffie-Hellman 密 
钥 协商 协议 ) 就 不 含 实体 的 认证 、 密 钥 认 证 和 密 钥 确 证 。 单 边 〈unilatoral) 密 钥 确证 可 
能 经 常 附 有 用 最 后 消息 推导 密 钥 的 单 向 函数 。 

在 认证 的 密 钥 建立 中 ， 有 基于 身份 的 密 钥 建立 协议 ， 参 与 者 的 公 钥 中 包含 了 身份 
信息 〈 如 名 字 、 地 址 、 身 份 号 等 )， 用 来 作为 确定 建立 密 钥 的 函数 的 输入 变量 。 目 前 ， 
许多 协议 都 假设 Trent 与 协议 的 参与 者 之 间 共 享 一 密 钥 ， 并 且 所 有 这 些 密 钥 在 协议 开 
始 执 行 前 就 已 经 分 发 到 位 。 下 面 就 来 讨论 这 些 协议 ， 协 议 中 采用 的 符号 如 表 8-11 
所 示 。 

表 8-11 认证 和 密 钥 交换 协议 中 采用 的 符号 


Alice 的 姓名 识别 符 fi MARE 














Es | 采用 Trent 与 Bob 共享 的 密 钥 加 密 n 由 Alice 和 Bob 选 择 的 一 次 随机 数 (Nonce) 
I 索引 号 码 Trent 的 签名 


1. 大 嘴 青 蛙 协 议 

大 嘴 青 蛙 协议 [Burrows 等 1989] 可 能 是 采用 可 信赖 服务 器 的 最 简单 的 对 称 密 钥 管理 
协议 。Alice 和 Bob 均 与 Trent 共享 一 个 密 钥 。 此 密 钥 只 用 做 密 钥 分 配 ， 而 不 用 来 对 用 户 
之 间 传 递 的 消息 进行 加 密 。 只 传送 两 条 消息 ，Alice 就 可 将 一 个 会 话 密 钥 发 送 给 Bobs H 
议 描述 如 表 8-12 所 示 。 
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表 8-12 大 嘴 青 蛙 协 议 


大 嘴 青 蛙 协 议 

类 前 提 : 

Alice 和 Bob 均 与 Trent 共享 一 个 密 钥 。 此 密 钥 只 用 做 密 钥 分 配 , 而 不 用 来 对 用 户 之 间 传 递 的 消息 

进行 加 密 。 

大 描述 : 

(1) Alice 将 时 截 、Bob 的 姓名 以 及 随机 会 话 密 钥 连接 ， 并 采用 与 Trent 共享 的 密 钥 对 整 条 消息 加 
密 。 此 后 ， 将 加 密 的 消息 和 她 的 姓名 一 起 发 送 给 Trent: A, ETa B, K)o 

(2) Trent 对 Alice 发 来 的 消息 解密 。 之 后 ， 他 将 一 个 新 的 时 蕉 、Alice 的 姓名 及 随机 会 话 密 钥 连接 ， 
并 采用 与 Bob 共享 的 密 钥 对 整 条 消息 加 密 。 此 后 ， 将 加 密 的 消息 发 送 给 Bob: Elg A K) 


这 个 协议 所 做 的 一 个 最 重要 的 假设 是 : Alice 完全 有 能 力 产 生 好 的 会 话 密 钥 。 在 实际 
中 ， 真 正 随 机 数 的 生成 是 十 分 困难 的 。 这 个 假设 对 Alice 提出 了 很 高 的 要 求 。 
2. Yahalom 协议 
在 这 一 协议 中 ，Alice 和 Bob 均 与 Trent 共享 一 个 密 钥 [Burrows 等 1989]。 协 议 如 
表 8-13 所 示 。 
表 8-13 Yahalom 协议 


Yahalom 协议 

类 前 提 : Alice 和 Bob 均 与 Trent 共享 一 个 密 钥 。 

火 目 标 ，Alice 和 Bob 均 确信 各 和 白 都 在 与 对 方 进 行 对 话 ， 而 不 是 与 男 外 的 第 三 方 通话 。 

类 描述 : 

(1) Alice 将 其 姓名 和 一 个 随机 数 链接 在 一 起 ， 发 送 给 Bob: A, Ryo 

(2) Bob 将 Alice 的 姓名 、Alice 的 随机 数 和 他 自己 的 随机 数 连接 起 来 。 并 采用 与 Trent 共享 的 密 
钥 加 密 。 此 后 将 加 密 的 消息 和 他 的 姓名 一 起 发 送 给 Trent: B, Ep(A, Ra Rp)o 

Trent 生成 两 条 消息 。 他 先 将 Bob 的 姓名 、 某 个 随机 的 会 话 密 钥 、Alice 的 随机 数 和 Bob 的 随 
机 数组 合 在 一 起 ， 并 采用 与 Alice 共享 的 密 钥 对 整 条 消息 加 密 ; 其 次 将 Alice 的 姓名 和 随机 的 
会 话 密 钥 组 合 起 来 ， 并 采用 与 Bob 共享 的 密 钥 加 密 。 最 后 将 两 条 消息 发 送 给 Alice: E(B, K, 
Ray Re)» Es(A, Kyo 

Alice 对 第 一 条 消息 解密 ， 提 取出 天 ， 并 证 实 R4 与 在 〈1) 中 值 相 等 。 之 后 ，Alice 向 Bob 发 
送 两 条 消息 。 第 一 条 消息 来 自 Trent， 采 用 Bob 的 密 钥 加 密 ， 第 二 条 是 Ra， 采 用 会 话 密 钥 K 
IN: Esl, K), Ex (Ra)。 

Bob 用 他 的 共享 密 钥 对 第 一 条 消息 解密 ， 提 取出 K: 再 用 该 会 话 密 钥 对 第 二 条 消息 解密 求 出 
Ra， 并 验证 Ree AS (2) 中 的 值 相 同 。 
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这 个 协议 的 新 思路 是 : Bob 首先 与 Trent 接触 ， 而 Trent 仅 向 Alice 发 送 一 条 消息 。 

3. Needham-Schroeder 协议 

这 个 协议 是 由 R. Needham 和 M. Schroeder 设计 的 [Needham 等 1978]， 协 议 采 用 了 
单 钥 体制 和 Trent, EHR, WK 8-14 所 示 。 
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表 8-14 Needham-Schroeder 协议 

Needham-Schroeder 协议 

(1) Alice 向 Trent 发 送 一 条 消息 :4, B, R4。 其 中 包括 她 的 姓名 A Bob 的 姓名 B 和 某 个 随机 
数 Ryo 

(2) Trent 生成 一 个 随机 会 话 密 钥 KK。 他 将 会 话 密 钥 和 Alice 的 姓名 连接 在 一 起 ， 并 采用 与 Bob JE 
享 的 密 钥 对 其 加 密 得 到 EK A): 此 后 ， 他 将 Alice 的 随机 数 Ry. Bob 的 姓名 B、 会 话 密 钥 
天 ， 以 及 上 述 加 密 的 消息 连接 ， 并 采用 与 Alice 共享 的 密 钥 加 密 。 最 后 将 加 密 的 消息 发 送 给 
Alice: E,(R4, B, K, Es(K, A))o 

(3) Alice 对 消息 解密 求 出 K， 并 验证 Ry 就 是 她 在 (1) 中 发 送 给 Trent 的 值 。 之 后 ， 她 向 Bob 发 送 
消息 : Es(K，4)。 

(4) Bob 对 收 到 的 消息 解密 求 出 K。 之 后 , 他 生成 另 一 随机 数 Re 采用 天 加 密 后 发 送 给 Alice: Ex(Rs)。 

(5) Alice 用 天 对 收 到 的 消息 解密 得 到 Re。 她 生成 Re-l, 并 采用 天 加 密 。 最 后 , 将 消息 发 送 给 Bob: 
Ex (Rg-1). 

(6) Bob 采用 天 对 消息 解密 ， 并 验证 得 到 的 明文 就 是 Rp 一 1 。 


RHR, RAR, 一 1 的 目的 是 为 了 抗击 重 放 攻击 (Replay Attack)。 在 实施 攻 
击 时 ，Mallory 可 以 记录 前 次 执行 协议 时 的 一 些 旧 消息 , 然后 重新 发 送 它们 ,试图 攻破 协 
议 。 在 (2) P, R EIE Alice 确信 : Trent 的 消息 是 合法 的 ， 并 非 是 重 发 上 次 协议 
执行 中 的 旧 消 息 。 当 Alice 成 功 解密 ， 求 出 Re JE 〈5) 中 向 Bob 发 送 Rs -1 时 ，Bob 
确信 Alice 的 消息 是 合法 的 ， 而 不 是 重 发 上 次 协议 执行 中 的 旧 消息 。 

这 一 协议 的 主要 安全 漏洞 是 旧 会 话 密 钥 存 在 着 脆弱 性 。 如 果 Mallory 能 够 获得 某 个 
旧 的 会 话 密 钥 , 他 就 可 以 成 功 地 对 协议 发 起 攻击 [Denning 1982]. 他 要 做 的 就 是 记录 Alice 
TE G) 中 发 给 Bob 的 消息 。 之 后 ,一旦 得 到 玉 ， 他 就 可 以 假装 成 Alice 对 协议 发 起 攻击 : 
(1) ~ (2) 与 Needham-Schroeder 协议 相同 。 

(3) Mallory 假装 成 Alice 向 Bob 发 送 消息 : E,(K, A) 。 

(4) Bob 解密 求 出 K， 生 成 R， 并 发 送 给 Alice 消息 : Ex (Rs)。 

(5) Mallory 截获 这 一 消息 ， 并 用 天 对 其 解密 。 此 后 ， 将 发 给 Bob: Ex(Rs -D。 
(6) Bob 验证 “Alice” 的 消息 是 Rs -1。 

至 此 ，Mallory 已 使 Bob 相信 他 正在 与 Alice 通话 。 

在 协议 中 采用 时 惟 ， 可 以 提高 协议 的 安全 性 ， 从 而 有 效 地 抗击 这 种 攻击 [Denning 等 
1981, Denning 1982]. 76 (2) "F, WYER INA Trent 发 送 的 消息 中 ， 即 E(K, 4, 7)。 
时 惟 要 求 系统 有 一 个 安全 的 和 精确 的 时 钟 ， 然 而 要 做 到 这 点 并 非 易 事 。 

如 果 Trent 与 Alice 共享 的 密 钥 被 泄漏 ， 那 么 后 果 更 加 严重 。Mallory 可 以 用 它 获得 
会 话 密 钥 , 然后 与 Bob (或 其 他 任何 想 要 与 之 对 话 的 用 户 ) 进行 通信 。 更 糟 的 是 , 在 Alice 
改变 了 她 的 密 钥 后 ，Mallory 还 可 以 继续 进行 这 种 攻击 [Bauer 等 1983]。 

为 了 克服 原 协议 存在 的 问题 Needham 和 Schroeder 对 上 述 协 议 做 了 改进 , 提出 了 一 种 
安全 性 更 高 的 协议 INeedham 等 1987]。 此 新 协议 与 将 要 讨论 的 Otway-Rees 协议 基本 相同 。 
4. Otway-Rees 协议 

这 一 协议 也 采用 了 单 钥 密码 体制 。 该 协议 有 Trent 参与 ， 无 时 截 [Otway 等 1987]。 
协议 描述 如 表 8-15 所 示 。 
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表 8-15 Otway-Rees 协议 


Otway-Rees 协议 

大 目标 : Alice 和 Bob 相互 确认 对 方 的 身份 ， 并 获得 一 个 通信 用 的 密 钥 。 

大 描述 : 

(1) Alice 生成 一 条 消息 ， 其 中 包括 索引 号 码 、 她 的 姓名 、Bob 的 姓名 和 一 个 随机 数 ， 并 将 这 条 
消息 采用 她 与 Trent 共享 的 密 钥 加 密 。 此 后 , 将 密 文 连同 索引 号 、Alice 和 Bob 的 姓名 一 起 发 
送 给 Bob: 7，4，B，E(R4，71，4，D)。 

(2) Bob 生成 一 条 消息 ， 其 中 包括 一 个 新 的 随机 数 、 索 引号 、Alice 和 Bob 的 姓名 ， 并 采用 他 与 
Trent 共享 的 密 钥 对 这 条 消息 加 密 。 此 后 ， 将 密 文 连同 Alice 的 密 文 、 索 引号 、Alice 和 Bob 
的 姓名 一 起 发 送 给 Trent: J, A, B, Ey(Ry I, 4，B)， 丁 (Re，7 A, B)o 

(3) Trent 生成 一 个 随机 的 会 话 密 钥 。 此后， 生成 两 条 消息 。 第 一 条 消息 采用 他 与 Alice 共享 的 密 钥 
对 Alice 的 随机 数 和 会 话 密 钥 加 密 ; 第 二 条 采用 他 与 Bob 的 共享 密 钥 对 Bob 的 随机 数 和 会 话 密 
钥 加 密 。 最 后 Trent 将 这 两 条 消息 连同 索引 号 一 起 发 送 给 Bob: I,，Ex(R4，K)，Eg(Rg, K)o 

(4) Bob 将 属于 Alice 的 那 条 消息 连同 索引 号 一 起 发 送 给 Alice: I, E4 (Ro K)o 

(5) Alice 对 收 到 的 消息 解密 得 到 随机 数 Ry 和 会 话 密 钥 。 如 果 R4 O) 中 的 值 相同 ， 那 么 Alice 
确认 随机 数 和 会 话 密 钥 没 有 被 改动 过 ， 并 且 不 是 重 发 某 个 旧 会 话 密 钥 。 


5. Kerberos 协议 
Kerberos 协议 是 从 Needham-Schroeder 协议 演变 而 来 的 。 有 关 该 协议 的 详细 介绍 ， 
请 参阅 15.6 节 。 在 基本 的 Kerberos V.5 协议 中 , Alice 和 Bob 各 自 与 Trent 共享 一 个 密 钥 ， 
KHER, Alice 与 Bob 通信 的 会 话 密 钥 由 Alice 生成 。 
Kerberos 协议 描述 如 表 8-16 所 示 。 
表 8-16 Kerberos 协议 
Kerberos 协议 
类 前 提 : 
每 个 用 户 均 具 有 一 个 与 Trent 同步 的 时 钟 。 
类 描述 : 
(1) Alice 向 Trent 发 送 她 的 身份 和 Bob 的 身份 : A, Bo 
(2) Trent 生成 一 条 消息 ， 其 中 包含 时 锥 、 有 效 期 L、 随 机 会 话 密 钥 和 Alice 的 身份 ， 并 采用 与 Bob 
共享 的 密 钥 加 密 。 此 后 ， 他 将 时 蕉 、 有 效 期 、 会 话 密 钥 和 Bob 的 身份 采用 与 Alice 共享 的 密 钥 
加 密 。 最 后 ， 将 这 两 条 加 密 的 消息 发 送 给 Alice: Ex(T, L, K, B), Eg(T, L, K, A)o 
(3) Alice 采用 天 对 其 身份 和 时 截 加 密 , 并 连同 从 Trent 收 到 的 、 属 于 Bob 的 那 条 消息 发 送 给 Bob: 
Ex(4, T), Es(T, L, K, Ajo 
(4) Bob ¥¢HTHRIN 1， 并 采用 天 对 其 加 密 后 发 送 给 Alice: Ek(T+1)。 


实际 上 ， 同 步 时 钟 是 由 系统 中 的 安全 时 间 服 务 器 来 保持 的 。 通 过 设立 一 定 的 时 间 间 
隔 ， 系 统 可 以 有 效 地 检测 到 重 放 攻 击 。 

6. Neuman-Stubblebine 协议 

无 论 是 系统 故障 还 是 计时 误差 ， 都 有 可 能 使 时 钟 失 步 。 若 发 生 时 钟 失 步 ， 所 有 依赖 
于 同步 时 钟 的 协议 都 有 可 能 遭 到 攻击 [Gong 1992]。 如 果 发 送 者 的 时 钟 超前 于 接收 者 的 时 
Sh, Mallory 可 以 截获 发 送 者 的 某 个 消息 , 等 该 消息 中 的 时 戳 接 近 于 接收 者 的 时 钟 时 再 重 
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发 这 条 消息 。 此 攻击 被 称 做 等 待 重 放 攻 击 〈Suppress-Replay Attack)， 它 造成 的 后 果 是 十 
分 严重 的 。 
Neuman-Stubblebine 协议 首先 在 文献 [Kehne 等 1992] 中 提出 ， 此 后 又 在 文献 [Neuman 
等 1993] 中 进行 了 改进 。 它 的 特点 是 能 够 抵抗 等 待 重 放 攻 击 。 作 为 Yahalom 协议 的 加 强 版 
本 ，Neuman-Stubblebine 协议 抵抗 是 一 个 很 好 的 协议 。 该 协议 的 描述 如 表 8-17 所 示 。 
表 8-17 Neuman-Stubblebine 协议 


Neuman-Stubblebine 协议 

类 目 标 : Alice 和 Bob 相互 确认 对 方 的 身份 ， 并 共享 一 个 会 话 密 钥 。 

大 描述 : 

C1) Alice 将 她 的 姓名 和 某 个 随机 数 连接 起 来 ， 发 送 给 Bob: A, R4。 

(2) Bob 将 Alice 的 姓名 、 随 机 数 和 时 蕉 连接 起 来 ， 并 采用 与 Trent 共享 的 密 钥 加 密 。 此 后 ， 将 密 
文 连同 他 的 姓名 、 新 产生 的 随机 数 一 起 发 送 给 Trent: B, Rp, Es (4, Ra, 7p)。 

(3) Trent 生成 一 随机 的 会 话 密 钥 。 之 后 ， 他 生成 两 条 消息 : 第 一 条 是 采用 与 Alice 共享 的 密 钥 对 
Bob 的 身份 、Alice 的 随机 数 、 会 话 密 钥 和 时 截 加 密 : 第 二 条 是 采用 与 Bob 共享 的 密 钥 对 Alice 
的 身份 、 会 话 密 钥 和 时 蕉 加 密 。 最 后 ， 他 将 这 两 条 消息 连同 Bob 的 随机 数 一 起 发 送 给 Alice: 
E4(B, R4, K, Tg), Eg (A, K, Tp), Ree 

(4) Alice 对 属于 她 的 消息 解密 得 到 会 话 密 钥 K， 并 确认 R4 与 在 〈1) 中 的 值 相等 。 此 后 ，Alice 
发 送 给 Bob 两 条 消息 第 一 条 消息 来 自 Trent， 第 二 条 消息 是 采用 会 话 密 钥 对 Rs WME: 
Es(A, K, 7B)，EK(RB)。 

(5) Bob 对 第 一 条 消息 解密 得 到 会 话 密 钥 K， 并 确认 Ts 和 Re 的 值 与 (2) 中 的 值 相同 。 








这 个 协议 不 需要 同步 时 钟 ， 因 为 时 戳 仅 与 Bob 的 时 钟 有 关 ，Bob 只 对 他 自己 生成 的 
时 瀹 进行 检查 。 

这 个 协议 的 优点 是 :在 预定 的 时 限 内 , Alice 能 够 将 收 自 Trent 的 消息 用 于 随后 与 Bob 
的 认证 中 。 假 设 Alice 和 Bob 已 经 完成 了 上 述 协议 ， 并 建立 连接 开始 通信 ， 但 由 于 某 种 
原因 连接 被 中 断 。 在 这 种 情况 下 ，Alice 和 Bob 不 需要 Trent 的 参与 ， 仅 执行 3 步 就 可 以 
实现 相互 认证 。 此 时 ， 协 议 的 执行 过 程 如 下 : 

(1) Alice 将 Trent Æ G) 中 发 给 她 的 消息 ， 连 同一 个 新 随机 数 一 起 发 送 给 Bob: 
E, (A, K,T,), Ris 

(2) Bob 采用 会 话 密 钥 对 Alice 的 随机 数 加 密 ， 连 同一 个 新 的 随机 数 发 送 给 Alice: 
Ri, E, (R!) 

(3) Alice 采用 会 话 密 钥 对 Bob 的 新 随机 数 加 密 ， 并 发 送 给 Bob: Ei (R;)。 

在 上 述 协议 中 ， 采 用 新 随机 数 的 目的 是 为 了 防止 重 放 攻 击 。 

7. DASS 

分 布 认证 安全 服务 (Distributed Authentication Security Service, DASS ) 协 议 是 由 DEC 
(Digital Equipment Corporation) 公司 开发 的 , 其 目的 也 是 为 了 提供 双向 认证 和 密 钥 交 换 。 
与 前 面 介绍 的 协议 不 同 ，DASS 既 采 用 了 双 钥 密码 体制 ， 也 采用 了 单 钥 密码 体制 。 该 协 
议 假 设 Alice 和 Bob 各 自 具有 一 个 私 钥 , 而 Trent 掌握 着 他 们 的 签名 公 钥 。 协 议 的 描述 如 
表 8-18 所 示 。 
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表 8-18 DASS 协议 


DASS 协议 

(1) Alice 将 Bob 的 身份 发 送 给 Trent: B。 

(2) Trent 将 Bob 的 公 钥 和 身份 连接 ， 并 采用 其 私 钥 了 对 消息 进行 数字 签名 : Sr(B, Kp), RIBS 
Alice。 

(3) Alice 对 Trent 的 签名 加 以 验证 ， 以 证 实 她 收 到 的 公 钥 就 是 Bob 的 公 钥 。 她 生成 一 个 会 话 密 钥 
和 一 个 随机 的 公 钥 / 私 钥 对 Kp， 并 用 K 对 时 截 加 密 。 接 下 来 ， 她 采用 私 钥 Ky 对 会 话 密 钥 的 有 
效 期 TL、 自 己 的 身份 和 Kp 进行 签名 。 之 后 ， 她 采用 Bob 的 公 钥 对 会 话 密 钥 开 加密， 再 用 Kp 
对 其 签名 。 最 后 ， 她 将 所 有 的 消息 发 送 给 Bob: Ex (Ty), Sk (L, A, Kr), Sx, (Ex, (K))。 

(4) Bob 将 Alice 的 身份 发 送 给 Trent (这 里 的 Trent 可 以 是 另外 一 个 实体 ) : Ao 

(5) Trent 将 Alice 的 公 钥 和 身份 连接 ， 并 采用 其 私 钥 了 对 消息 进行 数字 签名 : SrA, Ka), 发 送 给 
Bob。 

(6) Bob 验证 Trent 的 签名 ， 以 证 实 他 收 到 的 公 钥 就 是 Alice 的 公 钥 。 此 后 ， 他 验证 Alice 的 签名 
并 得 到 Kp。 他 再 采用 Kp 验证 Sx (Ex, (K) ,并 采用 他 的 私 钥 解密 得 到 会 话 密 钥 K。 最 后 ， 他 
采用 天 对 爽 (74) 解 密 得 到 时 蕉 Pr， 确 认 这 条 消息 是 当前 发 送 的 ， 而 不 是 重 发 某 条 旧 消 息 。 

(7) 如 果 需 要 进行 相互 认证 ，Bob 采用 天 对 一 个 新 时 蕉 加 密 后 发 送 给 Alice: Ex(7Ts)。 

(8) Alice 采用 天 对 收 到 的 消息 解密 ， 并 确认 此 消息 是 当前 发 送 的， 而 不 是 重 发 过 去 某 条 消息 。 


基于 DASS，DEC 公司 又 开发 出 新 的 协议 SPX。 此 协议 的 详细 情况 请 参阅 文献 
[Alagappan 等 1991]. 


8. Denning-Sacco 协议 
这 个 协议 也 采用 了 双 钥 体制 [Denning 等 1981]。 此 协议 假设 Trent 掌握 了 所 有 用 户 的 
公 钥 数据 库 。 协 议 描述 如 表 8-19 所 示 。 
表 8-19 Denning-Sacco 协议 
Denning-Sacco 协议 
(1) Alice 向 Trent 发 送 她 的 身份 和 Bob 的 身份 : 4，B。 
(2) Trent 采用 其 私 钥 对 Bob 的 公 钥 和 Alice 的 公 钥 签名 ， 并 发 送 给 Alice: Sr(B, Ks)，Sr(4, K4)。 
G) Alice 首先 采用 其 私 钥 对 一 个 随机 的 会 话 密 铀 和 时 蕉 签名 ， 再 采用 Bob 的 公 角 加密。 最后， 
将 结果 连同 收 到 的 两 个 签名 公 钥 一 起 发 送 给 Bob: Be(S4(K. Ta)), Sr(B, Ka), Sr(4, Ka)o 
(4) Bob 采用 其 私 钥 对 收 到 的 消息 解密 ， 此 后 采用 Alice 的 公 钥 对 Alice 的 签名 进行 验证 。 最 后 ， 
检验 时 蕉 是 否 仍然 有 效 。 
至 此 ，Alice 和 Bob 都 具有 一 个 会 话 密 钥 ， 他 们 可 以 它 进行 安全 的 通信 。 


Denning-Sacco 协议 看 似 安全 ， 其 实 不 然 。 在 Bob 与 Alice 一 起 完成 协议 后 ，Bob 可 
以 假冒 成 Alice。 通 过 表 8-20 会 看 到 Bob 是 如 何 假冒 Alice 的 。 

这 个 问题 很 容易 得 到 解决 。 只 要 将 网 络 用户 的 身份 加 入 到 (3) 中 的 加 密 消 息 中 ， 就 
可 以 成 功 地 防止 这 种 假冒 攻击 : E,(S4(4,B,K,T))，Sr(B, Kp)» S;,(A,K,) 

IME, Bob 就 无 法 将 旧 的 消息 重 发 给 Carol， 因 为 在 数字 签名 项 中 已 经 清楚 地 表明 通 
信和 是 在 Alice 和 Bob 两 个 用 户 之 间 进 行 。 
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表 8-20 假冒 攻击 
假冒 攻击 
(1) Bob 将 他 的 身份 和 Carol 的 身份 发 送 给 Trent: B,C. 
(2) Trent Bob 和 Carol 的 签名 公 钥 发 送 给 Bob: S,(B, Kp), S,(C, Ke) 。 
(3) Bob 将 过 去 收 自 Alice 的 签名 会 话 密 钥 和 时 礁 ， 采 用 Carol 的 公 钥 进行 加 密 ， 并 连同 Alice 和 
Carol 的 公 钥 证 明 (Certificate) 一 起 发 送 给 Carol: Eo (S4(K, T4)), Sr (4, K 4), Sr(C, Ke) « 
(4) Carol 采用 其 私 钥 对 收 到 的 消息 Ec (S4(K, Ta) 解密 ， 然 后 采用 Alice 的 公 钥 对 签名 加 以 验证 。 
最 后 ， 检 查 时 蕉 是 否 仍然 有 效 。 
FE, Carol 认为 他 正在 与 Alice 进行 通信 ，Bob CARI nm Alice. KERE, ZEN HINA RH 
AL, Bob 可 以 假冒 网 上 的 任何 用 户 。 


9. Woo-Lam 协议 
这 个 协议 也 采用 了 双 钥 体制 [Woo 等 1992]。 协 议 的 描述 如 表 8-21 所 示 。 
表 8-21 Woo-Lam 协议 


Woo-Lam 协议 

C1) Alice 向 Trent 发 送 她 的 身份 和 Bob 的 身份 : A, B- 

(2) Trent 采用 其 私 钥 了 对 Bob 的 公 钥 Ke 进行 签名 并 发 送 给 Alice: Sp(Kp)o 

(3) Alice 验证 Trent 的 签名 。 此 后 ， 采 用 Bob 的 公 钥 对 她 的 身份 和 产生 的 随机 数 加 密 ， 并 发 送 给 
Bob: Ex (4, R4) 。 

(4) Bob 采用 Trent 的 公 钥 Kr 对 Alice 的 随机 数 加 密 ， 并 连同 对 他 的 身份 、Alice 的 身份 一 起 发 送 
给 Trent: A, B, Ex, (R4)。 

(5) Trent 用 其 私 钥 对 Alice 的 公 钥 Ky 进行 签名 后 发 送 给 Bob。 同 时 ， 他 也 对 Alice 的 随机 数 、 随 
机 会 话 密 铀 、Alice 的 身份 、Bob 的 身份 进行 签名 ， 再 用 Bob 的 公 钥 加 密 后 发 送 给 Bob: 
Sr (Ky) + Ex, (Sp(R4, K, A, B)) « 

(6) Bob 验证 Trent 的 签名 。 此 后 ， 他 对 〈5) 中 消息 的 第 二 部 分 解密 ， 并 再 采用 Alice 的 公 钥 对 
得 到 的 Trent 的 签名 值 和 一 个 新 随机 数 Re 加 密 ， 将 结果 发 送 给 Alice : 
Ex, (Sr(R4, K, A, B), Rg) 。 

(7) Alice 验证 Trent 的 签名 和 她 的 随机 数 R4。 此 后 ， 她 采用 会 话 密 钥 天 对 Bob 的 随机 数 Ra 加 密 
后 ， 发 送 给 Bob: Ex (Rg)。 

(8) Bob 对 收 到 的 消息 解密 得 到 随机 数 Re， 并 检查 它 是 否 被 改动 过 。 


10. EKE 协议 

WME ZH (Encrypted Key Exchange, EKE) 协议 是 由 S. Bellovin 和 M. Merritt 
[Bellovin 等 1992] 提 出 的 。 协 议 既 采用 了 单 钥 体制 ， 也 采用 了 双 钥 体制 。 它 的 目的 是 为 
计算 机 网 络 上 的 用 户 提供 安全 性 和 认证 业务 。 这 个 协议 的 新 颖 之 处 是 : 采用 共享 密 钥 来 
加 密 随机 生成 的 公 钥 。 通 过 运行 这 个 协议 ， 两 个 用 户 可 以 实现 相互 认证 ， 并 共享 一 个 会 
话 密 钥 K。 

协议 假设 Alice 和 Bob〈 他 们 可 以 是 两 个 用 户 ， 也 可 以 是 一 个 用 户 、 一 个 主机 ) 共 
享 一 个 口令 P。 协 议 描 述 如 表 8-22 所 示 。 
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表 8-22 EKE 协议 


EKE 协议 
(1) Alice 生成 一 随机 的 公 钥 / 私 钥 对 。 她 采用 单 钥 算 法 和 密 钥 己 对 公 钥 K' 加密 ， 并 向 Bob 发 送 以 
下 消息 : 4,Ep (K') 。 
(2) Bob 采用 已 对 收 到 的 消息 解密 得 到 及 ' 。 此 后 ， 他 生成 一 个 随机 会 话 密 钥 K， 并 采用 天 ' 对 其 
加 密 ， 再 采用 P 加 密 ， 最 后 将 结果 发 送 给 Alice: Ep(Ex:(K)) 。 
(3) Alice 对 收 到 的 消息 解密 得 到 天 。 此后, 她 生成 一 个 随机 数 Ry» H K INAS AGES Bob: Ex(R4)。 
(4) Bob 对 消息 解密 得 到 RR。 他 生成 男 一 个 随机 数 Rg, 采 用 天 对 这 两 个 随机 数 加 密 后 发 送 给 Alice: 
Ex (Ra, Rg) 
(5) Alice 对 消息 解密 得 到 Ro Reo KA Bob 的 R4 与 (3) 中 发 送 的 值 相同 ，Alice 便 采 用 天 
对 Rs 加密， 并 发 送 给 Bob: Ex(RB)。 
(6) Bob 对 消息 解密 得 到 Rs。 假 设 收 自 Alice 的 Rg 与 在 (4) 中 Bob 发 送 的 值 相同 ， 协 议 就 完成 
了 。 通 信 双 方 可 以 采用 K 作为 会 话 密 钥 。 
EKE 可 以 采用 各 种 双 钥 算法 来 实现 , 例如 RSA、ElGamal 和 Diffie-Hellman 协议 等 。 
选用 和 设计 何 种 类 型 的 协议 要 根据 实际 应 用 对 确认 的 要 求 以 及 实现 的 机 制 来 定 ， 需 
要 考虑 多 方面 的 因素 ， 主 要 有 : 
(1) 认证 的 特性 ， 是 实体 认证 、 密 钥 认 证 和 密 钥 确认 的 任何 一 种 组 合 。 
(2) 认证 的 互 易 性 (Reciprocity)， 认 证 可 能 是 单方 的 ， 也 可 能 是 相互 的 。 
(3) 密 钥 的 新 鲜 性 (Freshness)， 保 证 所 建立 的 密 钥 是 新 的 。 
(4) 密 钥 的 控制 ， 有 的 协议 由 一 方 选 定 密 钥 值 ， 有 的 则 通过 协商 由 双方 提供 的 信息 
导出 ， 不 希望 由 单方 来 控制 或 预先 定 出 密 钥 值 。 
(5) 有 效 性 ， 包 括 参 与 者 之 间 交 换 的 消息 次 数 、 传 送 的 数据 量 、 各 方 计算 的 复杂 度 ， 
以 及 减少 实时 在 线 计 算 量 的 可 能 性 等 。 
(6) 第 三 方 参与 ， 包 括 有 关 第 三 方 参与 ， 在 有 第 三 方 参与 时 是 联机 还 是 脱 机 参与 ， 
以 及 对 第 三 方 信赖 程度 。 
(7) 是 否 采用 证 书 ， 以 及 证 书 的 类 型 。 
(8) 不 可 否认 性 ， 可 能 提出 收据 证 明 已 收 到 交换 的 密 钥 。 
有 关 密 钥 建 立 协 议 的 研究 , 可 参阅 [Desmedt 1988, 1994; Diffie 等 1992; Maurer 
1993]。 


33 秘密 分 拆 协议 





假设 你 发 明了 一 种 饮料 ， 但 又 不 想 让 竞争 对 手 知道 该 饮料 的 配方 ， 那 么 就 必须 对 饮 
料 中 所 含 的 各 种 成 分 的 比例 加 以 保密 。 在 生产 过 程 中 ， 你 可 能 将 配方 告诉 最 信赖 的 几 个 
雇员 。 但 是 ， 如 果 他 们 中 的 一 个 背叛 了 你 而 跑 到 竞争 对 手 一 边 时 ， 秘 密 就 会 完全 泄漏 。 
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不 久 ， 你 的 对 手 就 可 能 生产 出 和 你 完全 一 样 的 产品 。 

在 现实 中 ， 如 何 来 解决 这 类 问题 呢 ? 这 就 涉及 秘密 分 拆 的 问题 。 人 们 往往 将 某 条 消 
息 分 成 许多 碎片 [Feistel 1970]， 从 每 一 碎片 本 身 不 会 看 出 什么 东西 。 但 是 ， 如 果 将 所 有 
的 碎片 重新 组 合 在 一 起 ， 就 会 重 显 消息 。 拿 上 面 的 例子 来 说 ， 如 果 每 个 雇员 只 掌握 配方 
中 一 种 成 分 的 比例 ， 那 么 只 有 所 有 的 雇员 在 一 起 才能 够 生产 出 这 种 饮料 。 任 何 一 个 雇员 
的 离开 只 能 带 走 属于 他 的 那 部 分 秘密 ， 这 部 分 秘密 将 毫 无 用 处 。 

最 简单 的 秘密 分 拆 方案 是 将 某 条 消息 分 给 两 个 人 。 下 面 介 绍 一 种 秘密 分 拆 协议 ， 这 
里 Trent 将 某 条 消息 分 给 Alice 和 Bob， 如 表 8-23 所 示 。 

# 8-23 秘密 分 拆 协议 








秘密 分 拆 协议 
(1) Trent 生成 一 个 随机 比特 串 R， 它 与 消息 M 具 有 相同 的 长 度 。 
(2) Trent 将 M 和 RR 进行 异 或 运算 ， 得 到 S: S=M@R。 
(3) Trent 将 R 分 给 Alice， 将 5 分 给 Bob. 
若 想 重组 这 条 消息 ，Alice 和 Bob 仅 需 执行 下 一 步 。 
(4) Alice 和 Bob 将 各 自得 到 的 比特 串 进行 异 或 运算 ， 就 会 得 到 消息 : M=ROS. 


这 一 技术 是 绝对 安全 的 。 每 个 消息 碎片 本 身 毫 无 价值 。 从 本 质 上 看 ，Trent 采用 一 次 
随机 数 对 消息 加 密 ， 此 后 将 密 文 分 发 给 一 个 人 ， 而 将 一 次 随机 数 又 分 发 给 另外 一 个 人 。 
在 前 面 已 经 讨论 过 一 次 一 密 体制 ， 它 具有 绝对 的 安全 性 。 无 论 计算 能 力 有 多 高 ， 均 不 会 
从 某 一 碎片 中 推出 消息 本 身 。 

这 一 方案 很 容易 推广 到 有 多 个 人 的 情况 。 要 将 一 条 消息 分 拆 成 多 份 ， 就 要 采用 
多 个 随机 数 对 消息 进行 异 或 运算 。 在 如 表 8-24 所 示 的 例子 中 ，Trent 将 消息 分 成 了 
4 份 。 

表 8-24 ”裁决 协议 
C1) Trent 生成 3 个 随机 比特 串 R、S 和 7T， 它 们 与 消息 M 具有 相同 的 长 度 。 
(2) Trent 将 3 个 比特 串 与 消息 M 异 或 ， 得 到 U: U=MOROSOT. 
(3) Trent 将 发送 给 Alice, S 发 送 给 Bob，T 发 送 给 Carol, U 发 送 给 Dave. 
Alice, Bob, Carol 和 Dave 这 4 个 人 在 一 起 ， 就 可 以 重组 这 条 消息 。 
(4) Alice, Bob, Carol 和 Dave 集合 在 一 起 ， 计 算 : M=R®S@TOU. 


在 这 一 协议 中 ，Trent 有 绝对 的 权力 ， 并 且 可 以 做 他 想 做 的 任何 事情 。 他 可 以 把 毫 无 
意义 的 东西 拿 出 来 ， 并 声称 这 是 消息 的 一 个 有 效 组 成 部 分 。 在 重组 这 条 秘密 消息 之 前 ， 
没有 人 知道 这 件 事 。 他 可 以 将 分 拆 的 消息 碎片 分 发 给 Alice、Bob、Carol 和 Dave。 在 解 
雇 Bob 时 ， 他 会 告诉 每 个 人 只 有 Alice. Carol 和 Dave 掌握 的 消息 碎片 可 以 重组 消息 ， 
而 Bob 的 那 份 消息 碎片 毫 无 用 处 。 因 为 这 条 秘密 的 消息 是 由 Trent 来 分 割 的 ， 所 以 Trent 
知道 这 条 秘密 的 消息 。 

然而 ， 这 个 协议 存在 一 个 问题 : 如 果 任何 一 部 分 消息 碎片 丢失 了 ， 并 且 Trent 不 在 
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现场 ， 那 么 其 他 人 无 法 重组 这 一 消息 ， 这 等 于 丢失 了 这 条 消息 。 如 果 Carol 知道 饮料 的 
一 部 分 配方 ， 并 将 其 带 走 为 对 手工 作 ， 那 么 其 他 人 就 会 陷入 困境 。 虽 然 Carol 不 能 采用 
他 带 走 的 那 部 分 秘密 生产 出 相同 的 饮料 ， 但 是 对 Alice、Bob 和 Dave 来 说 也 一 样 。 由 于 
R、S、T 和 U 的 长 度 与 M 相同 ， 他 们 除了 知道 消息 的 长 度 以 外 ， 对 其 他 一 无 所 知 。 在 
8.4 节 中 ， 将 讨论 如 何 来 解决 这 个 问题 。 


_ 8.4 _ 会 议 客 钥 分 配 和 秘密 广播 协议 

















8.4.1 秘密 广播 协议 


Alice 想 通 过 一 个 发 射 机 广播 一 条 消息 MK， 然而 她 不 打算 让 所 有 的 听众 都 能 听 懂 。 她 
仅 想 有 选择 地 让 部 分 听众 听 懂 她 的 消息 M， 而 其 他 人 什么 也 听 不 到 。 

第 一 种 方法 : Alice 可 以 与 每 个 听众 共享 一 个 不 同 的 密 钥 秘密 的 或 公开 的 )。 她 用 
某 个 随机 密 钥 K 对 消息 M 加密 ， 然 后 用 预定 接收 者 的 密 钥 对 天 加 密 〈 记 为 Ks )。 最 后 ， 
她 将 加 密 的 消息 和 所 有 加 密 的 密 钥 K, 广播 出 去 。 收 听 者 Bob 采用 他 的 密 钥 对 所 有 KK, 解 
密 ， 并 寻找 那个 正确 的 密 钥 K， 再 用 它 对 消息 解密 得 到 M; 若 Alice 不 介意 让 人 知道 她 
发 送 的 消息 是 给 谁 的 , 那么 她 可 以 在 Ks 的 后 面 附加 上 预定 接收 者 的 姓名 。 接收 者 只 需 搜 
索 各 自 的 姓名 ， 并 对 相应 的 Ks 解密 即 可 。 

第 二 种 方法 : 这 一 方法 在 文献 [Chiou 等 1989] 中 做 了 介绍 。 首 先 ， 每 个 听众 与 Ailce 
共享 一 个 密 钥 Ks ， 这 个 密 钥 比 所 有 加 了 密 的 消息 都 大 。 所 有 这 些 密 钥 都 是 两 两 互 素 的 。 
Alice 采用 某 个 随机 密 钥 K 对 消息 加 密 。 此 后 ， 她 生成 一 个 整数 R， 使 得 当 某 个 密 钥 要 用 
来 对 消息 解密 时 ，R=KmodKs; 否则 R=0modK,。 

例如 , 若 Alice 想 要 Bob, Carol 和 Ellen 接收 到 她 发 送 的 消息 , 而 不 让 Dave 和 Frank 
接收 到 ， 那 么 她 用 天 对 消息 加 密 ， 继 而 计算 R， 使 得 : 

R=K (modK;,) 
R=K (modK;,) 
R=0(modK,) 
R=K (modK,) 
R=0(modK,) 

这 是 一 个 纯 代 数 问题 ，Alice 很 容易 求 出 RR。 当 听众 收 到 这 一 广播 时 ， 他 们 各 自 对 接 
收 到 的 密 钥 取 模 天 。。 如 果 他 们 被 允许 接收 消息 ， 他 们 就 能 够 恢复 出 密 钥 ， 否 则 ， 他 们 
什么 也 不 会 得 到 。 

第 三 种 方法 : 文献 [Berkovitz 1991] 提 出 了 一 种 采用 了 门限 方案 的 方法 。 像 其 他 方法 
一 样 ， 每 个 可 能 的 接收 者 都 可 以 得 到 一 个 密 钥 ， 这 个 密 钥 是 尚未 建立 的 门限 方案 的 “ 投 
影 ”。Alice 也 为 自己 准备 一 些 密 铀 ， 给 系统 增加 某 些 随机 性 。 

首先 ， 假设 有 个 听众 。 在 广播 消息 MIN, Alice HEH K 对 消息 M 加 密 ， 并 进行 
以 下 操作 : 
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(1) Alice 选择 一 个 随机 数 j。 这 个 随机 数 用 于 隐藏 消息 接收 者 的 数目 。 这 个 数 不 必 
很 大 ， 它 可 以 是 一 个 很 小 的 数 。 

(2) Alice 建立 一 个 (Kk+j+1,2k+j+1) 门限 方案 ， 其 中 : KERHA: 预定 接收 者 的 
密 钥 就 是 这 一 门限 方案 的 “投影 ” 非 预 定 接收 者 的 密 钥 不 是 “投影 ”; j 是 随机 选择 的 “ 投 
影 ” 个 数 ， 它 们 与 任何 一 个 密 钥 均 不 同 。 

(3) Alice J PE k + j 个 随机 选择 的 “投影 ”， 其 中 任何 一 个 都 不 是 (2) 中 列 出 的 “ 投 
(4) 所 有 收 到 这 一 广播 的 听众 将 他 们 各 自 的 “投影 ”加 到 所 接收 的 k+j 个“ 投影” 
上 。 如 果 加 上 该 “投影 ”后 能 够 计算 出 密 钥 Kk， 那么 他 们 就 恢复 出 密 钥 ， 从 而 就 可 解密 
出 用 天 加 密 的 消息 M: 如 果 加 上 该 “投影 ”后 不 能 够 计算 出 密 钥 大， 那么 他 们 就 不 能 | 
复出 密 钥 ， 从 而 就 不 能 解密 出 用 天 加 密 的 消息 M 

此 外 ， 文 献 [Gong 1994] 还 介绍 了 其 他 方法 。 

8.4.2 会议 密 钥 分 配 协议 

这 个 协议 将 实现 一 组 (nm 个 ) 用 户 通过 不 安全 的 信道 共享 某 个 密 钥 。 这 一 组 用 户 共 
享 两 个 大 素数 总和 4， 生成 元 g Sq 具有 相同 的 长 度 。 协 议 如 表 8-25 所 示 。 

表 8-25 会 议 密 钥 分 配 协议 
会 议 密 钥 分 配 协议 
a) HP i(i=1,2…,n)， 选 择 随机 数 mr<qg， 并 广播 : z; = g" modp 。 
(2) 每 个 用 户 验 证 zf =1(mod p), i=1,2,%,n 


(3) 用 户 广 播 : =(zin1/zi1)" mod p 。 
(4) 用 户 计算 : 天 = (2p) xl x? xx tt} mod p 。 


在 上 面 的 协议 中 ， 所 有 下 标 i-1,i-2 和 寺 1 的 计算 都 是 模 n 运算 。 在 协议 执行 完 以 
后 ， 所 有 组 内 用 户 均 共享 相同 的 密 钥 K， 组 外 人 均 得 不 到 任何 有 用 信息 。 

这 个 协议 的 缺点 是 不 能 抵抗 中 间 人 攻击 。 在 文献 [ngemarsson 等 1982] 中 , 作者 提出 
了 另外 一 种 会 议 密 钥 分 配 协议 。 


_ 5 _ 密码 协议 的 安全 性 


认证 协议 是 许多 分 布 系统 安全 的 基础 。 确 保 这 些 协议 能 够 安全 地 运行 是 极为 重要 的 。 
虽然 认证 协议 中 仅仅 进行 很 少 的 儿 组 消息 传输 ， 但 是 其 中 的 每 一 消息 的 组 成 都 是 经 过 巧 
妙 设 计 的 ， 而 且 这 些 消 息 之 间 有 着 复杂 的 相互 作用 和 制约 。 在 设计 认证 协议 时 ， 人 们 通 
常 采用 不 同 的 密码 体制 。 而 且 所 设计 的 协议 也 常常 应 用 于 许多 不 同 的 通信 环境 。 但 是 ， 
现 有 的 许多 协议 在 设计 上 普遍 存在 着 某 些 安全 缺陷 。 造 成 认证 协议 存在 安全 漏洞 的 原因 
有 很 多 ， 但 主要 的 原因 有 如 下 两 个 : 中 协议 设计 者 有 可 能 误解 了 所 采用 的 技术 ， 或 者 不 
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恰当 地 照搬 了 已 有 协议 的 某 些 特性 ，@ 人 们 对 某 一 特定 的 通信 环境 及 其 安全 需求 研究 不 
够 。 人 们 很 少 知道 所 设计 的 协议 是 如 何 才能 够 满足 安全 需求 的 。 因 此 ， 在 近来 出 现 的 许 
多 协议 中 都 发 现 了 不 同 程度 的 安全 缺陷 或 元 余 消 息 。 

本 节 将 讨论 对 协议 的 攻击 方法 和 安全 性 分 析 方法 。 


8.5.1 对 协议 的 攻击 


在 分 析 协 议 的 安全 性 时 , 常用 的 方法 是 对 协议 施加 各 种 可 能 的 攻击 来 测试 其 安全 度 。 
密码 攻击 的 目标 通常 有 3 个 : 第 一 是 协议 中 采用 的 密码 算法 ， 第 二 是 算法 和 协议 中 采用 
的 密码 技术 ; 第 三 是 协议 本 身 。 由 于 本 节 仅 讨论 密码 协议 ， 因 此 ， 只 考虑 对 协议 自身 的 
攻击 ， 而 假设 协议 中 所 采用 的 密码 算法 和 密码 技术 均 是 安全 的 。 对 协议 的 攻击 可 以 分 为 
被 动 攻击 和 主动 攻击 。 

被 动 攻击 是 指 协议 外 部 的 实体 对 协议 执行 的 部 分 或 整个 过 程 实施 窃听 。 攻 击 者 对 协 
议 的 窃听 并 不 影响 协议 的 执行 ， 他 所 能 做 的 是 对 协议 的 消息 流 进 行 观 察 ， 并 试图 从 中 获 
得 协议 中 涉及 的 各 方 的 某 些 信息 。 他 们 收集 协议 各 方 之 间 传 递 的 消息 ， 并 对 其 进行 密码 
分 析 。 这 种 攻击 实际 上 属于 一 种 惟 密 文 攻击 。 被 动 攻击 的 特点 是 难以 检测 ， 因 此 在 设计 
协议 时 应 该 尽量 防止 被 动 攻击 ， 而 不 是 检测 它们 。 
主动 攻击 对 密码 协议 来 说 具有 更 大 的 危险 性 。 在 这 种 攻击 中 ， 攻 击 者 试图 改变 协议 
执行 中 的 某 些 消息 以 达到 获取 信息 、 破 坏 系统 或 获得 对 资源 的 非 授权 访问 。 他 们 可 能 在 
协议 中 引入 新 的 消息 ， 删 除 消息 ， 替 换 消息 ， 重 发 旧 消 息 ， 干 扰 信 道 或 修改 计算 机 中 存 
储 的 信息 。 在 网 络 环境 下 ， 当 通信 各 方 彼此 互 不 信赖 时 ， 这 种 攻击 对 协议 的 威胁 显得 更 
为 严重 。 攻 击 者 不 一 定 是 局 外 人 ， 他 可 能 就 是 一 个 合法 用 户 ， 可 能 是 一 个 系统 管理 者 ， 
可 能 是 儿 个 人 联手 对 协议 发 起 攻击 ， 也 可 能 就 是 协议 中 的 一 方 。 

车 主动 攻击 者 是 协议 涉及 的 一 方 ， 则 称 其 为 欺骗 者 (Cheater)。 他 可 能 在 协议 执行 
中 撒谎 ， 或 者 根本 不 遵守 协议 。 欺 骗 者 也 可 以 分 为 主动 欺骗 者 和 被 动 欺骗 者 。 被 动 欺骗 
者 遵守 协议 ， 但 试图 获得 协议 之 外 更 多 的 信息 ; 主动 欺骗 者 则 不 遵守 协议 ， 对 正在 执行 
的 协议 进行 干扰 ， 试 图 冒充 它 方 或 欺骗 对 方 ， 以 达到 各 种 非法 目的 。 

如 果 协 议 的 参与 者 中 多 数 都 是 主动 欺骗 者 ， 那 么 就 很 难保 证 协议 的 安全 性 。 但 是 ， 
在 某 些 情况 下 ， 合 法 用 户 可 能 会 检测 到 主动 欺骗 的 存在 。 显 然 ， 密 码 协 议 对 于 被 动 欺骗 
应 该 是 安全 的 。 

在 实际 中 ， 对 协议 的 攻击 方法 是 多 种 多 样 的 。 对 不 同类 型 的 密码 协议 ， 存 在 着 不 同 
的 攻击 方法 。 很 难 将 所 有 攻击 方法 一 一 列 出 ， 这 里 仅仅 对 儿 种 常用 的 攻击 方法 进行 详细 
介绍 。 为 了 便于 理解 ， 下 面 结合 一 个 具体 的 协议 对 这 些 攻击 方法 加 以 说 明 。 

图 8-4 (a) 为 一 个 单 向 用 户 认 证 协议 ， 实 现 用 户 B 对 用 户 4 的 认证 功能 。 其 中 ，N 
为 一 次 随机 数 ，E,(N) 表示 采用 密 钥 K, 对 N 加 密 。K, 要 么 是 用 户 4 与 用 户 B 的 共享 密 
5H, 要 么 是 用 户 4 的 公 钥 。 图 8-4 (b) 的 协议 与 图 8-4 (a) 完全 对 称 ， 它 实现 用 户 4 对 
FAP B 的 认证 。 将 图 8-4 (a) 和 图 8-4 (b) 的 两 个 协议 结合 起 来 ， 就 得 到 图 8-4 Cc) 的 
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双向 认证 协议 ， 将 其 做 进一步 的 简化 ， 便 得 到 图 8-4 (d) 的 协议 。 对 于 单 钥 体 制 来 说 ， 
K, AK, 是 相同 的 ， 因 此 E, (N) A E (N) 表示 采用 同一 个 共享 密 钥 对 随机 数 加 密 。 

图 8-4 Cd) 中 的 双向 认证 协议 是 由 两 个 单 向 认证 协议 演化 而 来 的 。 初 看 似乎 无 可 挑 
剔 ， 但 是 它 却 不 安全 。 我 们 将 证 明 ， 当 此 协议 采用 单 钥 体 制 构造 时 ， 攻 击 者 很 容易 采 上 
不 同 的 攻击 方法 攻破 此 协议 。 在 后 面 ， 我 们 将 结合 这 个 例子 ， 讨 论 几 个 典型 的 攻击 协议 
的 方法 。 


1. 已 知 明文 攻击 

图 8-4(d) 所 示 的 协议 的 一 个 缺点 是 它 对 已 知 明文 攻击 的 开放 性 。 对 于 4 和 B 之 间 
交换 的 每 个 密 文 消息 比特 流 ， 均 可 以 在 随后 的 消息 流 中 找到 相应 的 明文 。 在 每 次 执行 协 
议 时 ， 被 动 攻击 者 可 以 通过 搭 线 窃听 的 方法 ， 收 集 到 两 个 明文 - 密 文 对 。 通 过 长 期 不 断 地 
窗 听 ， 攻 击 者 至 少 可 以 建立 起 一 个 加 密 表 ， 甚 至 可 以 根据 所 采用 的 加 密 算 法 强度 ， 进 一 
步 攻 破 此 方案 并 发 现 加 密 密 钥 。 因 此 ， 在 设计 认证 协议 时 ， 一 般 要 求 所 交换 的 加 密 消息 
的 相应 明文 不 会 被 攻击 者 得 到 或 推出 。 


2. 选择 密 文 攻击 

当 攻击 者 将 已 知 明文 攻击 转化 为 选择 密 文 攻击 时 ， 他 所 起 的 作用 是 主动 性 的 而 不 是 
被 动 性 的 ， 这 种 威胁 就 更 为 严重 。 在 图 8-4 Cd) 中 ， 攻 击 者 可 以 假扮 成 4 或 B， 向 另 一 
Ti B 或 4) 发 送 某 个 经 过 选择 的 密 文 消息 ， 并 等 待 对 方 发 送 回 相应 的 解密 数值 。 攻 击 
者 并 不 知道 确切 的 密 钥 是 什么 ， 当 然 就 不 会 完成 第 3 个 消息 流 。 然 而 ， 他 可 以 积累 关于 
明文 - 密 文 对 的 有 关 知 识 ， 其 中 的 密 文 是 经 他 自己 精心 选择 的 《或 者 当 他 发 送 的 消息 是 明 
文 时 ， 收 到 的 回执 将 是 相应 的 密 文 )。 他 可 以 尝试 采用 特定 的 密 文 比特 串 ， 如 全 “0” 全 
“1” 或 其 他 消息 ， 来 更 快 地 解 出 密 钥 。 因 此 ， 在 设计 协议 时 ， 通 常 期 望 攻击 者 不 能 欺骗 
合法 用 户 来 获取 选择 密 文 的 相应 明文 ， 或 者 选择 明文 的 相应 密 文 。 






































A a UB A B A B A B 
EN) EN) EAN) ~ EN) 2 
No a N a N aN EN) 
EAN) Ny 
Nz 
(a) (b) (c) (d) 


图 8-4 ”用 户 认证 协议 举例 
3. 预言 者 会 话 攻击 
实际 上 ， 在 上 述 简单 协议 中 ， 如 果 4 和 B 采 用 相同 的 密 钥 ， 攻 击 者 无 须 破译 出 密 钥 
就 能 攻破 此 认证 协议 。 这 种 攻击 如 图 8-5 所 示 。 在 图 8-5 中 ， 攻 击 者 蕊 假装 成 4， 通过 
向 B 发 送 某 个 加 密 的 随机 数 E(N, ) 开始 会 话 。B 则 响应 此 会 话 请 求 ， 向 站 发 回 解 密 的 消 
息 N, 和 某 个 加 密 的 随机 数 E(N,) 。 BZR X TREX E(N) 解密 得 到 NN,， 但 是 他 可 以 通过 
对 A 实施 选择 密 文 攻击 来 得 到 N, A 作为 预言 者 向 匀 提 供 必要 的 解密 值 N, 。 首 先 ， 攻 
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击 者 假装 成 用 户 B, 通过 向 4 发 送 加 密 消 息 E(N, ) 开始 会 话 。4 则 响应 会 话 请 求 发 回 N， 
和 某 个 加 密 的 随机 数 E(N;)。 一 旦 X 获得 了 N,， 就 会 
抛弃 4， 转 过 来 与 B 会 话 ， 而 根本 不 去 考虑 如 何 解密 N, 
E(N,). Witty B 发 送 N, Bake X RAMI 
用 户 4， 取 得 用 户 B 的 信赖 而 完成 认证 协议 。 ~ 一 一 

这 个 例子 暴露 了 协议 中 存在 的 一 个 基本 缺陷 ， 因 EN) EN) 
此 ， 在 设计 认证 协议 时 ， 协 议 每 个 消息 流 中 用 到 的 密 吉 ees 
码 消息 必须 有 所 区 别 ， 使 得 攻击 者 不 可 能 从 第 2 个 消 Ton 
息 流 中 推出 、 重 组 或 伪造 出 第 3 个 消息 流 中 必需 的 — -= 
消息 。 Np 

实际 上 ， 认 证 协议 的 这 个 缺陷 已 经 被 发 现 ， 并 得 
到 了 改进 ， 成 为 ISO SC27 标准 协议 。 在 这 个 协议 中 ， Hes 预言 者 会 话 攻击 
协议 的 发 起 者 4 发 送 的 “提问 ”消息 是 为 了 使 对 方 表 
明 其 具有 加 密 某 个 给 定 明文 的 能 力 ， 而 B 发 出 的 “提问 ”是 为 了 让 对 方 表明 其 具有 
解密 某 个 给 定 密 文 的 能 力 。 这 样 ， 攻 击 者 便 不 会 将 一 方 用 做 预言 者 “解密 服务 器 ” 
去 对 付 另 一 方 。 此 时 也 许 有 人 肯定 地 认为 此 协议 不 会 有 其 他 缺陷 ， 但 遗憾 的 是 ， 改 
进 后 的 协议 仍然 存在 着 缺陷 。 实 际 上 ， 这 个 缺陷 在 原始 的 协议 中 同样 存在 。 下 面 将 
对 此 加 以 分 析 。 


4. 并 行 会 话 攻击 

对 于 上 面 讨论 的 协议 ， 我 们 发 现 它 具 有 一 个 普遍 性 的 缺陷 ， 即 不 能 抵抗 并 行 会 话 攻 
击 。 这 里 ， 攻 击 者 所 起 的 作用 是 被 动 的， 而 非 主动 的 。 

首先 ， 攻 击 者 六 截获 由 4 向 8 发 出 的 “提问 ”随机 数 N, ， 立 刻 反手 将 其 发 送 给 4。 
这 里 ， 攻 击 者 根本 不 理 竖 B， 而 把 4 变 成 对 付 他 自己 的 预言 者 。 由 于 攻击 者 万 不 能 对 4 
的 “提问 ” Ni 做 出 相应 的 “回答 ”ECN) ， 他 只 有 假装 成 B 试图 与 4 进行 会 话 。 显 然 ， 
攻击 者 选择 了 WN 作为 对 4 发 出 的 “提问 ”让 4 来 蔡 他 精确 地 计算 完成 认证 所 必需 的 
响应 消息 E(N,) 。 同 时 ， 在 并 行 会 话 中 ，4 也 发 送出 它 自己 的 加 密 “ 提 问 ”消息 E(N,) 。 
区 在 获得 ECN) 和 E(N,) 后 ,立即 将 它们 回 送 给 A. A 发 送 ,完成 第 一 次 认证 交换 过 程 ， 
而 N, 又 恰恰 就 是 万 为 完成 第 二 次 认证 交换 所 必需 的 数值 。 这样, X 便 在 原始 会 话 及 其 并 
行 会 话 中 成 功 地 扮演 了 B 的 角色 。 

对 于 不 同 的 网 络 结构 ， 在 不 同 协议 层 上 的 许多 连接 建立 协议 往往 不 允许 同时 建立 
多 个 并 行 会 话 。 然 而 ， 在 某 些 现存 的 网 络 环境 下 ， 这 种 并 行 会 话 在 设计 上 是 允许 的 。 
在 这 些 允 许 的 网 络 环境 下 设计 密码 协议 时 ， 设 计 者 必须 小 心 对 待 这 种 攻击 。 协 议 必 须 
能 够 检测 在 某 次 会 话 中 收 到 的 第 一 个 “提问 ”不 是 重 发 另外 某 个 会 话 中 的 “提问 ”。 然 
而 ， 将 会 话 的 安全 性 留 给 用 户 去 考虑 是 十 分 危险 的 ， 必 须 在 进行 协议 设计 时 就 尽量 名 
免 这 种 攻击 。 
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并 行 会 话 攻击 揭示 了 许多 简单 认证 协议 存在 的 另 一 个 基本 的 缺陷 。 要 克服 这 种 缺陷 ， 
协议 第 二 个 消息 流 中 的 密码 表达 式 就 必须 是 非 对 称 的 ， 也 就 是 与 方向 有 关 ， 使 得 由 4 发 
起 的 协议 中 的 值 ， 不 能 用 于 由 B 发 起 的 协议 之 中 。 

基于 以 上 的 考虑 , 即 : 在 第 二 个 消息 流 中 的 密码 消息 必须 是 非 对 称 的 (具有 方向 性 )， 
并 且 要 与 第 3 个 消息 流 有 所 区 别 。 也 许 有 人 提出 如 图 8-6 所 示 的 协议 ， 并 认为 它 是 安全 
的 。 在 图 中 ， 对 随机 数 N, 加 密 已 换 成 对 Ni 的 函数 加 密 (xor 表示 异 或 运算 )。 它 除了 仍 
然 可 以 遭 到 已 知 明文 或 选择 明文 攻击 之 外 ， 采 用 这 种 简单 的 函数 实际 上 没有 解决 任何 问 
题 。 图 8-6 所 示 的 协议 仍然 可 以 遭 到 并 行 会 话 攻击 。 攻 击 者 只 要 在 原来 的 消息 上 附加 适 
当 的 偏 值 ， 就 很 容易 将 其 攻破 。 具 体 攻 击 方法 如 图 8-7 所 示 。 








4 N, B 
N, xor B xor A 
E(N, xor B), E(N>) 
E(N, xor B), E(N3) 


E(N, xor B), E(N3) No 








N, Ni 








图 8-6 满足 非 对 称 要 求 的 双向 认证 协议 图 8-7 偏 值 攻击 通过 并 行 会 话 攻击 ) 


通过 上 面 的 讨论 可 以 发 现 , 图 8-2 中 被 认为 十 分 安全 的 协议 可 以 用 多 种 方法 攻破 。 
在 实际 中 ， 攻 击 者 对 一 些 看 似 安全 的 协议 通过 仔细 地 分 析 ， 可 以 发 起 诸如 预言 者 会 话 
攻击 、 并 行 会 话 攻击 、 偏 值 攻击 或 其 他 类 型 的 攻击 。 这 些 攻 击 统称 为 交织 攻击 
(Interleaving Attacks)。 因 此 ， 如 果 所 设计 的 协议 是 安全 的 ， 它 就 必须 能 够 抵抗 交织 攻 
击 。 如 何 设计 的 协议 才 是 安全 的 ， 这 是 许多 协议 设计 者 关心 的 问题 。 迄 今 为 止 ， 还 没 
有 更 好 、 更 系统 的 方法 来 设计 安全 的 密码 协议 ， 这 里 只 能 将 现 有 的 一 些 最 新 研究 成 果 
介绍 给 读者 。 

8.5.2 ”密码 协议 的 安全 性 分 析 

目前 ， 对 密码 协议 进行 分 析 的 方法 有 两 种 ， 一 种 是 攻击 检验 方法 ， 另 一 种 是 采用 形 
式 语言 逻辑 证 明 的 方法 。 

1. 攻击 检验 方法 

这 种 方法 就 是 采用 现 有 的 一 些 有 效 的 协议 攻击 方法 ， 逐 个 对 协议 进行 攻击 ， 检 验 其 
是 否 具 有 抵御 这 些 攻击 的 能 力 。 分 析 时 ， 主 要 采用 语言 描述 的 方法 ， 对 协议 所 交换 的 密 
码 消息 的 功能 进行 剖析 。 
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2. 形式 语言 逻辑 分 析 法 

采用 形式 语言 对 密码 协议 进行 安全 性 分 析 的 基本 方法 归纳 起 来 有 4 种 : 

a) 采用 非 专 门 的 说 明 语言 和 验证 工具 来 对 协议 建立 模型 并 加 以 验证 。 

(2) 通过 开发 专家 系统 ， 对 密码 协议 进行 开发 和 研究 。 

G) 采用 能 够 分 析 知 识 和 信任 的 逻辑 ， 对 协议 进行 安全 性 研究 。 

(4) 基于 密码 系统 的 代数 特点 ， 开 发 某 种 形式 方法 ， 对 协议 进行 分 析 和 验证 。 

第 一 种 方法 是 将 密码 协议 看 成 为 计算 机 程序 ， 并 校 验 其 正确 性 。 然 而 ， 证 明了 正确 
性 不 等 于 证 明了 安全 性 。 采 用 这 一 方法 不 能 检测 协议 存在 的 安全 缺陷 。 

第 二 种 方法 采用 专家 系统 来 确定 协议 是 否 能 够 达到 某 个 不 期 望 的 状态 。 尽 管 这 一 方 
法 能 够 很 好 地 识别 出 存在 的 安全 缺陷 ， 但 它 不 能 保证 安全 性 。 它 易于 发 现 协 议 中 是 否 存 
在 某 一 已 知 的 缺陷 ， 而 不 可 能 发 现 未 知 的 缺陷 。 这 种 方法 的 应 用 实例 是 美国 军 方 开发 的 
Interrogator 系统 [Millen 等 1987]。 

第 三 种 方法 是 迄今 使 用 最 为 广泛 的 一 种 方法 。 美 国 DEC 公司 的 Michael Burrows， 
Matin Abadi 和 剑桥 大 学 的 Roger Needham 提出 并 开发 了 一 个 分 析 知 识 和 信任 的 形式 逻 
HRR, ， 称 为 BAN X4 (Burrows et al 1989)。 该 逻辑 假设 认证 是 完整 性 〈Integrity) 和 
新 鲜 性 〈Freshness) 的 一 个 函数 。 在 协议 的 整个 运行 过 程 中 ， 采 用 风 辑 规则 来 跟踪 这 
两 个 属性 。BAN 逻辑 不 能 提供 安全 性 证 明 ， 它 只 能 用 来 推理 认证 。 由 于 BAN 逻辑 简 
单 、 直 观 ， 便 于 掌握 和 使 用 ， 而 且 可 以 成 功 地 发 现 协议 中 存在 的 安全 缺陷 ， 因 此 得 到 
了 广泛 应 用 。 

第 四 种 分 析 密 码 协 议 的 方法 是 将 密码 协议 模型 转化 为 一 个 代数 系统 ， 表 述 参与 者 对 
协议 知识 的 状态 ， 然 后 分 析 某 种 状态 的 可 达 性 〈Attainability)。 然 而 ， 这 种 方法 没有 像 
BAN 逻辑 那样 引起 人 们 足够 的 重视 。 

目前 , 美国 海军 实验 室 的 NRL 协议 分 析 器 可 能 是 这 些 技术 最 成 功 的 应 用 。 它 被 用 来 
发 现 协议 中 可 能 存在 的 未 知 和 已 知 的 缺陷 。 此 外 ,人们 还 尝试 采用 NRL 协议 分 析 器 来 设 
计 密 码 协议 。 

在 对 缺少 可 信赖 的 第 三 方 服务 器 实时 参与 的 认证 协议 进行 证 明 时 , BAN 认证 迪 辑 存 
在 一 定 的 局 限 性 。 为 了 便于 对 双 钥 体制 构造 的 密码 协议 进行 分 析 ， 不 得 不 做 出 这 样 的 假 
Be: 即 由 证 书 机 构 CA 所 颁发 的 证 书 均 是 新 的 Fresh)。 在 做 出 这 个 最 基本 的 假设 之 后 ， 
问题 就 可 以 得 到 解决 了 。 在 实际 中 ， 这 一 假设 是 合理 的 。 因 为 证 书 的 “新 鲜 性 ”可 以 F 
证 书 中 所 含 的 证 书 有 效 期 以 及 作废 证 书 清单 CRL 来 保证 [Aziz 等 1994]。 

对 于 涉及 Diffie-Hellman 密 钥 交换 系统 的 协议 ，BAN 逻辑 无 法 对 其 进行 分 析 。 为 了 
打破 BAN 逻辑 的 局 限 性 ， 许 多 文献 对 BAN 逻辑 进行 了 某 些 必要 的 改进 或 扩展 ， 这 里 将 
这 些 风 辑 分 别称 为 GNY、AT、VO 和 SVO i248. GNY 和 AT 逻辑 对 BAN 进行 了 扩展 ， 
增加 了 许多 逻辑 规则 以 便 更 好 地 分 析 同 一 类 协议 。VO 逻辑 则 在 BAN 逻辑 的 基础 上 ， 增 
加 了 对 Diffie-Hellman 密 钥 交 换 系 统 的 处 理 能 力 。 而 SVO 逻辑 则 对 以 上 3 种 逻辑 进行 了 
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归纳 和 总 结 ， 使 其 具有 更 加 完善 的 形式 分 析 能 力 。 即 便 如 此 ， 将 形式 语言 应 用 于 密码 协 
议 分 析 仍 然 是 一 个 全 新 的 领域 。 

各 种 分 析 方 法 都 有 其 特点 和 局 限 性 ， 应 综合 分 析 利 用 。 许 多 文献 [Boyd 等 1993; 
Kemmerer 等 1994; Simmons 1994a, 1994b; Meadows 1994; van Oorschot 1993a; Gligor 
等 1991] 都 讨论 了 这 一 理论 的 实用 问题 。 

应 当 指 出 ， 通 过 攻击 检验 方法 和 形式 逻辑 分 析 法 ， 都 只 是 协议 安全 性 的 必要 条 件 ， 
而 不 是 协议 安全 性 的 充分 条 件 。 攻 击 检验 法 可 以 验证 协议 有 无 已 知 类 型 的 安全 漏洞 ， 不 
能 证 明 能 对 付 将 出 现 的 新 的 攻击 方法 ， 形 式 罗 辑 分 析 法 在 将 协议 以 形式 语言 表述 时 ， 常 
常 难以 将 所 有 可 利用 信息 纳入 ， 因 而 不 能 对 协议 进行 完善 的 数学 描述 。 这 一 方法 还 有 待 
完善 和 发 展 。 有 关 密 码 协议 的 设计 规范 和 形式 语言 证 明 ， 请 参考 有 关 书 籍 和 文献 [Wang 
等 1999]。 
































习 题 
一 、 填 空 题 
1. 计算 机 网 络 中 使 用 的 好 的 协议 ， 不 仅 应 该 具有 性 、 性 
和 性 ， 而 且 应 该 具有 足够 高 的 性 。 
2. 为 有 效 地 防止 中 间 人 攻击 ， 在 密 钥 交换 协议 中 应 采用 技术 。 
3. 密 钥 建 立 协议 主要 分 为 协议 和 协议 。 
4. Diffie-Hellman 算法 的 安全 性 是 基于 。 
5. 密 钥 认证 分 为 和 三 
6. 认证 包含 和 
7. 认证 的 密 钥 建立 协议 有 
和 
8. 密码 攻击 的 目标 有 和 
9. 对 协议 进行 攻击 的 典型 方法 有 和 
10. 对 密码 协议 的 安全 性 进行 分 析 的 方法 有 和 
二 、 思 考题 
1. 什么 是 协议 ? 协议 具有 哪些 特点 ? 协议 有 几 种 类 型 ? 
2. 什么 是 仲裁 协议 ? 仲裁 协议 有 哪些 特点 ? 
3. 什么 是 裁决 协议 ? 裁决 协议 有 哪些 特点 ? 
4. 什么 是 自 执行 协议 ?” 自 执行 协议 有 哪些 特点 ? 
5. 一 个 好 的 协议 应 具备 哪些 特点 ? 
6. 按照 密码 协议 的 功能 来 分 类 ， 密 码 协议 可 以 被 分 成 哪 几 类 ? 
7. 什么 是 中 间 人 攻击 ? 中 间 人 攻击 能 够 成 功 实施 的 真正 原因 是 什么 ? 
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8. Diffie-Hellman 算法 能 否 用 来 对 消息 进行 加 密 和 解密 ? 为 什么 ? 

9. 掺 杂 是 对 付 字典 攻击 的 有 效 方法 。 请 问 它 是 否 能 抗击 对 单一 口令 的 预定 攻击 ? 为 
什么 ? 

10. 在 密码 协议 中 ， 一 次 性 随机 数 (Nonce〉 和 时 惟 (Timestamp) 的 作用 是 什么 ? 

11. 对 密码 协议 进行 安全 性 分 析 有 哪儿 种 方法 ? 
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De EM er 
数字 证 书 与 公 钥 基础 设施 


(94 PKI 的 基本 概念 


9.1.1 PKI 的 定义 


PKI 是 一 种 遵循 标准 的 利用 公 钥 理论 和 技术 建立 的 提供 安全 服务 的 基础 设施 。 所 谓 
基础 设施 ， 就 是 在 某 个 大 型 环境 下 普遍 适用 的 基础 和 准则 ， 只 要 遵循 相应 的 准则 ， 不 同 
实体 即 可 方便 地 使 用 基础 设施 所 提供 的 服务 。 例 如 ， 通 信 基 础 设施 〈 网 络 ) 允许 不 同 机 
器 之 间 为 不 同 的 目的 交换 数据 ， 电 力 供应 基础 设施 可 以 让 各 种 电力 设备 获得 运行 所 需要 
的 电压 和 电流 。 

公 钥 基础 设施 的 目的 是 从 技术 上 解决 网 上 身份 认证 、 电 子 信息 的 完整 性 和 不 可 抵赖 
性 等 安全 问题 ， 为 网 络 应 用 (如 浏览 器 、 电 子 邮 件 、 电 子 交 易 ) 提供 可 靠 的 安全 服务 。 
PKI 是 遵循 标准 的 密 钥 管理 平台 ， 能 为 所 有 网 络 应 用 透明 地 提供 采用 加 密 和 数字 签名 等 
密码 服务 所 需 的 密 铀 和 证 书 管理 。 

PKI 最 主要 的 任务 是 确立 可 信任 的 数字 身份 ， 而 这 些 身 份 可 被 用 来 和 密码 机 制 相 结 
合 ， 提 供认 证 、 授 权 或 数字 签名 验证 等 服务 ， 而 使 用 该 类 服务 的 用 户 可 在 一 定 程度 确信 
自己 的 行为 未 被 误导 。 这 一 可 信 的 数字 身份 通过 数字 证 书 〈 也 称 公 钥 证 书 ) 来 实现 。 数 
字 证 书 〈 如 X.509 证 书 ， 可 参见 9.2 节 ) 是 用 户 身份 与 其 所 持 公 钥 的 结合 。 

在 实用 中 ，PKI 体系 在 安全 、 易 用 、 灵 活 、 经 济 的 同时 ， 必 须 充 分 考虑 互 操作 性 和 
可 扩展 性 。 PKI 体系 所 包含 的 证 书 机 构 (Certificate Authority, CA)、 注 册 机 构 (Registration 
Authority, RA)、 策 略 管理 、 密 钥 (Key) UEP (Certificate) 管理 、 密 钥 备 份 与 恢复 、 
撤销 系统 等 功能 模块 需 有 机 结合 ， 此 外 ， 安 全 应 用 程序 的 开发 者 不 必 再 关心 复杂 的 数学 
模型 和 运算 ， 只 需 直 接 按 照 标准 使 用 API 接口 即 可 实现 相应 的 安全 服务 。 


9.1.2 ”PKI 的 组 成 


1. 证 书 机 构 

PKI 系统 的 关键 是 实现 密 钥 管理 。 目 前 较 好 的 密 钥 管理 解决 方案 是 采取 证 书 机 制 。 
数字 证 书 即 是 公开 密 钥 体制 的 一 种 密 钥 管 理 媒介 。 数 字 证 书 是 一 种 具有 权威 性 的 电子 文 
档 ， 其 作用 是 证 明证 书 中 所 列 用 户 身 份 与 证 书 中 所 列 公 开 密 钥 合 法 且 一 致 。 要 证 明 其 合 
法 性 ， 就 需要 有 可 信任 主体 对 用 户 证 书 进 行 公证 ， 证 明 主体 的 身份 及 其 与 公 钥 的 匹配 关 
系 ， 证 书 机 构 即 是 这 样 的 可 信任 机 构 。 

CA 也 称 数字 证 书 认证 中 心 ( 认 证 中 心 )， 作 为 具有 权威 性 、 公 正 性 的 第 三 方 可 信任 
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机 构 ， 是 PKI 体系 的 核心 构件 。CA 负责 发 放 和 管理 数字 证 书 ， 其 作用 类 似 于 现实 生活 
中 的 证 件 颁 发 部 门 ， 如 护照 办 理 机 构 。 

CA 提供 网 络 身 份 认证 服务 、 负 责 证 书签 发 及 签发 后 证 书生 命 周 期 中 的 所 有 方面 的 
管理 ， 包 括 跟踪 证 书 状态 且 在 证 书 需要 撤销 (吊销 〉 时 发 布 证 书 撤销 通知 。CA 还 需 维 
护 证 书 档案 和 证 书 相关 的 审计 ， 以 保障 后 续 验证 需求 。CA 系统 的 功能 如 图 9-1 所 示 ， 详 
细 的 证 书 与 密 钥 管理 请 参见 9.2 节 。 

2. 注册 机 构 

注册 机 构 (RA， 也 称 注册 中 心 ) 是 数字 证 书 注册 审批 机 构 ， 是 认证 中 心 的 延伸 ， 与 
CA 在 逻辑 上 是 一 个 整体 ， 执行 不 同 的 功能 。RA 按照 特定 政策 与 管理 规范 对 用 户 的 资格 
进行 审查 ， 并 执行 “是 否 同意 给 该 申请 者 发 放 证 书 、 撤 销 证 书 ” 等 操作 ， 承 担 因 审 核 错 
误 而 引起 的 一 切 后 果 。 如 果 审 核 通过 ， 即 可 实时 或 批量 地 向 CA 提出 申请 ， 要 求 为 用 户 
签发 证 书 。RA 并 不 发 出 主体 的 可 信 声 明 〈 证 明 )， 只 有 证 书 机 构 有 权 颁 发 证 书 和 撤销 证 
Po RA 将 与 具体 应 用 的 业务 流程 相 联系 ， 是 最 终 客户 和 CA 交互 的 纽带 ， 是 整个 CA 中 
心得 以 运作 的 不 可 缺少 的 部 分 。 

RA 负责 对 证 书 申 请 进行 资格 审查 ， 其 主要 功能 如 下 。 

(1) 填写 用 户 注册 信息 : 蔡 用 户 填写 有 关 用 户 证 书 申请 信息 。 

(2) 提交 用 户 注册 信息 : 核对 用 户 申请 信息 ， 决 定 是 否 提交 审核 。 

G) 审核 :对 用 户 的 申请 进行 审核 ， 决 定 “ 批 准 ” 还 是 “拒绝 ”用 户 的 证 书 申请 。 

(4) 发 送 生 成 证 书 申请 : 向 CA 提交 生成 证 书 请 求 。 

G) 发 放 证 书 : 将 用 户 证 书 和 私 钥 发 放 给 用 户 。 

(6) 登记 黑 名 单 : 对 过 期 的 证 书 和 撤销 的 证 书 及 时 登记 ， 并 向 CA 发 送 。 

(7) 证 书 撤销 列表 管理 ， 确 保 CRL 的 及 时 性 ， 并 对 CRL 进行 管理 。 

(8) 日 志 审计 : 维护 RA 的 操作 日 志 。 

(9) 自身 安全 保证 :保障 服务 器 自身 密 钥 数 据 库 信息 、 相 关 配 置 文件 安全 。 

RA 系统 的 功能 如 图 9-2 所 示 。 
































































































































RA 系 统 功能 
CA 系统 功能 
Ea alelelelalelelele 
| ) | tet 
证 | [证 ] he] hel fæl fe] fea] [ee ele | alel Eli 
成 || 发 || 销 | | 新 | | 档 | | 登 | | 计 EE le ai |™ 
理 Eel 和 请 理 
图 9-1 CA 系统 的 功能 图 9-2 RA 系统 的 功能 
3. 证 书 发 布 库 
证 书 发 布 库 (简称 证 书库 ) 集中 存放 CA 颁发 证 书 和 证 书 撤销 列表 (Certificate 





Revocation List，CRL)。 证 书库 是 网 上 可 供 公 众 进行 开放 式 查 询 的 公共 信息 库 。 公 众 查 
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询 的 目的 通常 有 两 个 : @ 得 到 与 之 通信 的 实体 的 公 钥 ; @ 验 证 通信 对 方 的 证 书 是 否 在 “ 黑 
名 单 ” 中 。 

在 轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol, LDAP) 尚未 出 现 以 
前 ,通常 由 各 应 用 程序 使 用 各 自 特定 的 数据 库 来 存储 证 书 及 CRL， 并 使 用 各 自 特定 的 协 
议 实现 访问 。 这 种 方案 存在 很 大 的 局 限 性 ， 因 为 数据 库 和 访问 协议 的 不 兼容 性 ， 使 得 人 
们 无 法 使 用 其 他 应 用 程序 实现 对 证 书 及 CRL 的 访问 。LDAP 作为 一 种 标准 的 开发 协议 ， 
使 以 上 问题 得 到 了 解决 。 此 外 ， 证 书库 还 应 该 支持 分 布 式 存放 ， 即 将 与 本 组 织 有 关 的 证 
书 和 证 书 撤销 列表 存放 在 本 地 , 以 提高 查询 效率 。 在 PKI 所 支持 用 户 数量 较 大 的 情形 下 ， 
PKI 信息 的 及 时 性 和 强 有 力 的 分 布 机 制 将 非常 关键 。LDAP 目录 服务 支持 分 布 式 存放 ， 
是 大 规模 PKI 系统 成 功 实 施 的 关键 ， 也 是 创建 高 效 的 认证 机 构 的 关键 技术 。 


4. 密 钥 备 份 与 恢复 

针对 用 户 密 钥 丢 失 的 情形 ，PKI 提供 密 钥 备 份 与 恢复 机 制 。 密 钥 备 份 和 恢复 只 能 针 
对 加 /解密 密 钥 ， 而 无 法 对 签名 密 钥 进行 备份 。 数 字 签 名 是 用 于 支持 不 可 否认 服务 的 ， 有 
时 间 性 要 求 ， 因 此 不 能 备份 /恢复 签名 密 钥 。 

密 钥 备 份 在 用 户 申请 证 书 阶段 进行 ， 如 果 注 册 声 明 公 / 私 钥 对 是 用 于 数据 加 密 的 ， 则 
CA 即 可 对 该 用 户 的 私 钥 进 行 备份 。 当 用 户 丢失 密 钥 后 ， 可 通过 可 信任 的 密 钥 恢复 中 心 
或 CA 完成 密 钥 恢 复 。 

5. 证 书 撤销 

证 书 由 于 某 些 原因 需要 作废 时 ， 如 用 户 身份 姓名 的 改变 、 私 钥 被 窃 或 泄漏 、 用 户 与 
所 属 企业 关系 变更 等 ，PKI 需要 使 用 一 种 方法 警告 其 他 用 户 不 要 再 使 用 该 用 户 的 公 钥 证 
书 ， 这 种 警告 机 制 被 称 为 证 书 撤销 。 

证 书 撤销 的 主要 实现 方法 有 以 下 两 种 。 

a) 利用 周期 性 发 布 机 制 ， 如 证 书 撤销 列表 (Certificate Revocation List，CRL)。 证 
书 撤销 消息 的 更 新 和 发 布 频率 非常 重要 ， 两 次 证 书 撤销 信息 发 布 之 间 的 间隔 称 为 撤销 延 
Ro YERE PKI 系统 中 ， 撤 销 延 迟 必须 遵循 相应 的 策略 要 求 。 

(2) 在 线 查 询 机 制 , 如 在 线 证 书 状态 协议 (Online Certificate Status Protocol, OCSP). 

在 9.2 节 将 详细 介绍 证 书 撤销 方法 。 


6. PKI 应 用 接口 

PK 研究 的 初衷 就 是 令 用 户 能 方便 地 使 用 加 密 、 数 字 签 名 等 安全 服务 ,因此 一 个 完善 
的 PKI 必须 提供 良好 的 应 用 接口 系统 ， 使 得 各 种 应 用 能 够 以 安全 、 一 致 、 可 信 的 方式 与 
PKI 交互 ， 确 保安 全 网 络 环境 的 完整 性 和 易 用 性 。PKI 应 用 接口 系统 应 该 是 跨 平 台 的 。 


9.1.3 PKI 的 应 用 


PKI 的 应 用 非常 广泛 ， 如 安全 浏览 器 、 安 全 电子 邮件 、 电 子 数 据 交 换 、Internet 上 的 
信用 卡 交易 及 VPN 等 。PKI 作为 安全 基础 设施 ， 它 能 够 提供 的 主要 服务 如 下 。 


1. 认证 服务 
认证 服务 即 身份 识别 与 认证 ， 就 是 确认 实体 即 为 自己 所 声明 的 实体 ， 鉴 别 身份 的 
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HH. 

以 甲乙 双方 的 认证 为 例 : 甲 首先 要 验证 乙 的 证 书 的 真 伪 ， 乙 在 网 上 将 证 书 传送 给 甲 ， 
FH CA 的 公 钥 解 开 证 书 上 CA 的 数字 签名 ， 若 签名 通过 验证 ， 则 证 明 乙 持 有 的 证 书 是 
真 的 ， 接 着 甲 还 要 验证 乙 身 份 的 真 伪 ， 乙 可 将 自己 的 口令 用 其 私 钥 进行 数字 签名 传送 给 
甲 ， 甲 已 从 乙 的 证 书库 中 查 得 了 乙 的 公 钥 ， 甲 即 可 用 乙 的 公 钥 来 验证 乙 的 数字 签名 。 若 
该 签名 通过 验证 ， 乙 在 网 上 的 身份 就 确 沿 无 疑 了 。 


2. 数据 完整 性 服务 

数据 完整 性 服务 就 是 确认 数据 没有 被 修改 过 。 实 现 数据 完整 性 服务 的 主要 方法 是 数 
字 签 名 ， 它 既 可 以 提供 实体 验证 ， 又 可 以 保障 被 签名 数据 的 完整 性 ， 这 由 杂凑 算法 和 签 
名 算法 提供 保证 。 杂 凑 算 法 的 特点 是 输入 数据 的 任何 变化 都 会 引起 输出 数据 不 可 预测 的 
极 大 变化 , 而 签名 是 用 自己 的 私 钥 将 该 杂凑 值 进行 加 密 , 然后 与 数据 一 同 传送 给 接收 方 。 
如 果 敏感 数据 在 传输 和 处 理 过 程 中 被 算 改 ， 接 收 方 就 不 会 收 到 完整 的 数字 签名 ， 验 证 就 
会 失败 。 反 之 ， 若 签名 通过 了 验证 ， 就 证 明 接收 方 收 到 的 是 未 经 修改 的 完整 数据 。 


3. 数据 保密 性 服务 

PKI 的 保密 性 服务 采用 了 “数字 信封 ”机 制 ， 即 发 送 方 先 产生 一 个 对 称 密 钥 ， 并 用 
该 对 称 密 钥 加 密 数据 。 同 时 ， 发 送 方 还 用 接收 方 的 公 钥 加 密 对 称 密 铀 ， 就 像 把 它 装 入 一 
个 “数字 信封 ” 然后 把 被 加 密 的 对 称 密 钥 (“数字 信封 ”和 被 加 密 的 敏感 数据 一 起 传送 
给 接收 方 。 接 收 方 用 自己 的 私 钥 拆 开 “数字 信封 ” 并 得 到 对 称 密 钥 ， 再 用 对 称 密 钥 解 开 
被 加 密 的 敏感 数据 。 


4. 不 可 否认 服务 

不 可 否认 服务 是 指 从 技术 上 保证 实体 对 其 行为 的 认可 。 在 这 中 间 ， 人 们 更 关注 的 是 
数据 来 源 的 不 可 否认 性 、 接 收 的 不 可 否认 性 及 接收 后 的 不 可 否认 性 ， 此 外 还 有 传输 的 不 
可 否认 性 、 创 建 的 不 可 否认 性 和 同意 的 不 可 否认 性 。 


5. 公证 服务 

PKI 中 的 公证 服务 与 一 般 社会 提供 的 公证 人 服务 有 所 不 同 ，PKI 中 支持 的 公证 服务 
是 指 “数据 认证 网 也 就 是 说 ， 公 证 人 要 证 明 的 是 数据 的 有 效 性 和 正确 性 ， 这 种 公证 取决 
于 数据 验证 的 方式 。 例 如 ， 在 PKI 中 被 验证 的 数据 是 基于 杂凑 值 的 数字 签名 、 公 钥 在 数 
学 上 的 正确 性 和 签名 私 钥 的 合法 性 。 

PKI 提供 的 上 述 安全 服务 能 很 好 地 满足 电子 商务 、 电 子 政务 、 网 上 银行 、 网 上 证 券 
等 行业 的 安全 需求 ， 是 确保 这 些 活动 能 够 顺利 进行 的 安全 措施 。 


92 数字 证 书 








PKI 与 非 对 称 加 密 密 切 相关 ， 涉 及 消息 摘要 、 数 字 签 名 与 加 密 等 服务 。 数 字 证 书 技 
术 则 是 支持 以 上 服务 的 PKI 关键 技术 之 一 。 
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数字 证 书 可 理解 为 相当 于 护照 、 驾 驶 执照 之 类 用 以 证 明 实体 身份 的 证 件 。 例 如 ， 护 
照 可 以 证 明 实体 的 姓名 、 国 籍 、 出 生日 期 和 地 点 、 照 片 与 签名 等 方面 信息 。 类 似 地 ， 数 
字 证 书 也 可 以 证 明 网 络 实体 在 特定 安全 应 用 的 相关 信息 。 

数字 证 书 就 是 一 个 用 户 的 身份 与 其 所 持 有 的 公 钥 的 结合 ， 在 结合 之 前 由 一 个 可 信任 
的 权威 机 构 CA 来 证 实用 户 的 身份 ， 然 后 由 该 机 构 对 该 用 户 身份 及 对 应 公 钥 相 结合 的 证 
书 进 行 数 字 签名 ， 以 证 明 其 证 书 的 有 效 性 。 


9.2.1 数字 证 书 的 概念 


数字 证 书 实际 上 是 一 个 计算 机 文件 ， 该 数字 证 书 将 建立 用 户 身份 与 其 所 持 公 钥 的 关 
联 。 其 主要 包含 的 信息 有 主体 名 (Subject Name)， 数 字 <= 
证 书 中 任何 用 户 名 均 称 为 主体 名 (即使 数字 证 书 可 能 颁 Digital Certificate = 一 内 
发 给 个 人 或 组 织 ); 序号 (Serial Number); 有 效 期 ; 4% Se Atal a 
发 者 名 (Issuer Name)。 数 字 证 书 的 示例 如 图 9-3 所 示 。 | Ub Ney Oc 
由 表 9-1 可 见 ,常规 护照 与 数字 证 书 项 目 非常 相似 。 | Oe Ew y 
同一 签发 者 签发 的 护照 不 会 有 重 号 ,同样 ,同一 签发 者 | Valid From :1 Jan 2001 
签发 的 数字 证 书 的 序号 也 不 会 重复 。 签 发 数字 证 书 的 机 | Meene Verein 
构 通常 为 一 些 著名 组 织 ， 世 界 上 最 著名 的 证 书 机 构 为 。 风 MAERAH 
VeriSign 与 Entrust。 在 国内 ,许多 政府 机 构 和 企业 也 建 
立 了 自己 的 CA 中 心 。 例 如 ， 我 国 的 12 家 银行 联合 组 建 了 CFCA。 证 书 机 构 有 权 向 个 人 
和 组 织 签发 数字 证 书 ， 使 其 可 在 非 对 称 加 密 应 用 中 使 用 这 些 证 书 。 


表 9-1 常规 护照 与 数字 证 书 项 目 比 对 


























常规 护照 项 目 数字 证 书 项 目 
姓名 (Full Name) 主体 名 (Subject Name) 
护照 号 (Passport Number) 序号 (Serial Number) 
起 始 日 期 (Valid From) 起 始 日 期 (Valid From) 
终止 日 期 (Valid To) 终止 日 期 (Valid To) 
签发 者 Cssued By) 签发 者 名 (Issuer Name) 
照片 与 签名 (Photograph And Signature) 公 钥 (Public Key) 


9.2.2 ”数字 证 书 的 结构 


数字 证 书 的 结构 在 Satyam 标准 中 定义 。 国 际 电信 联盟 (ITU) 于 1988 年 推出 这 个 
标准 ， 当 时 放 在 X.500 标准 中 。 后 来 ，X.509 标准 于 1993 年 和 1995 年 做 了 两 次 修订 。 
这 个 标准 的 最 新 版 本 是 X.509 v3. 1999 4E, Internet 工程 任务 小 组 (IETF ) 发 表 了 X.509 
标准 的 草案 RFC 2459。 

图 9-4 是 X.509 v3 数字 证 书 的 结构 ， 显 示 出 X.509 标准 指定 的 数字 证 书 字段 ， 还 指 
定 了 字段 对 应 的 标准 版 本 。 可 以 看 出 ，X.509 标准 第 1 版 共有 7 个 基本 字段 ， 第 2 版 增 
加 了 两 个 字段 ， 第 3 版 增加 了 1 个 字段 。 增 加 的 字段 分 别 被 称 为 第 2 版 和 第 3 版 的 扩展 
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或 扩展 属性 。 这 些 版 本 的 末尾 还 有 1 个 共同 字段 。 表 9-2 (a)、 表 9-2 (b)、 表 9-2 (c) 
列 出 了 这 3 个 版 本 中 的 字段 描述 。 


























































Version 
Certificate Serial Number 
Signature Algorithm Identifier 
| ssuerName | E a 
Validity(Not Before/Not After) ka 号 | a 
SubjectName S| 2 
Subject Public Key Information > 
Issuer Unique Identifier 
Subject Unique Identifier 
Extensions 
Certification Authority’s Digital 
Signature 
图 9-4 X.509 v3 数字 证 书 的 结构 
表 9-2 X.509 数字 证 书 字段 描述 
(a) 第 1 版 
字 ë B Hi 述 
版 本 (Version) 标识 本 数字 证 书 使 用 的 X.509 协议 版 本 ， 目 前 可 取 1/2/3 
证 书 序号 
(Certificate Serial Number) sci Maas 
签名 算法 标识 符 a j g 
(Signature Algorithm Identifier) MRA EARTEN EHNA 
签名 者 (Issuer Name) 标识 生成 、 签 名 数字 证 书 的 CA 的 可 区 分 名 CDN) 
有 效 期 (之 前 /之 后 ) 包含 两 个 日 期 时 间 值 (之 前 /之 后 ) ， 指 定数 字 证 书 有 效 的 时 
(Validity (Not Before/Not After) ) | 间 范 围 。 通 常 指定 日 期 、 时 间 ， 精 确 到 秒 或 毫秒 
主体 名 (Subject Name) 标识 数字 证 书 所 指 实体 ( 即 用 户 或 组 织 ) 的 可 区 分 名 (DN) 
除非 v3 扩展 中 定义 了 替换 名 ， 和 否则 该 字段 必须 有 值 
主体 公 钥 信息 





含 hy AN A Es a. 算法 ， 该 字 能 为 空 
(Subject Public Key Information) 包含 主体 的 公 钥 与 密 钥 相关 的 算法 ， 该 字段 不 能 为 


(b) 第 2 版 
签发 者 唯一 标识 符 
(Issuer Unique Identifier) 
主体 唯一 标识 符 
(Subject Unique Identifier) 





在 两 个 或 多 个 CA 使 用 相同 签发 者 名 时 标识 CA 








在 两 个 或 多 个 主体 使 用 相同 签发 者 名 时 标识 CA 
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续 表 
(c) 第 3 版 
FB fi g 
机 构 密 钥 标 识 符 单个 证 书 机 构 可 能 有 多 个 公 钥 / 私 钥 对 ， 本 字段 定义 该 证 书 的 签 


(Authority Key Identifier) 


名 使 用 哪个 密 钥 对 用 相应 密 钥 验证 ) 





主体 密 钥 标 识 符 
(Subject Key Identifier) 





主体 可 能 有 多 个 公 钥 / 私 钥 对 ， 本 字段 定义 该 证 书 的 签名 使 用 哪 
个 密 钥 对 (用 相应 密 钥 验证 》 





密 钥 用 法 (Key Usage) 


扩展 密 钥 用 法 
(Extended Key Usage) 


私 钥 使 用 期 
(Private Key Usage Period) 


证 书 策略 (Certificate Policies) 
证 书 映射 (Policy Mappings) 
主体 替换 名 

(Subject Alternative Name ) 
SRA EA 


(Issuer Alternative Name) 
主体 目录 属性 
(Subject Directory Attributes ) 





基本 限制 (Basic Constraints) 


名 称 限 制 (Name Constraints) 
策略 限制 (Policy Constraints ) 


定义 该 证 书 的 公 钥 操作 范围 。 例 如 ,可 以 指定 该 公 钥 可 用 于 所 有 
密码 学 操作 或 只 能 用 于 加 密 ， 或 者 只 能 用 于 Diffie-Hellman 密 钥 
交换 ， 或 者 只 能 用 于 数字 签名 ， 等 等 

可 补充 或 替代 密 钥 用 法 字段 ， 指 定 该 证 书 可 采用 哪些 协议 ， 这 些 
协议 包括 TLS 〈 传 输 层 安 全 协议 ) 、 客 户 端 认 证 、 服 务 器 认证 、 
时 间 鹤 等 

可 对 该 证 书 对 应 的 公 钥 / 私 钥 对 定义 不 同 的 使 用 期 限 。 若 本 字段 
为 空 ， 则 该 证 书 对 应 的 公 钥 / 私 钥 对 定义 相同 的 使 用 期 限 

定义 证 书 机 构 对 某 证 书 指定 的 策略 和 可 选 限定 信息 

在 某 证 书 的 主体 也 是 证 书 机 构 时 使 用 ， 即 ， 一 个 证 书 机 构 向 另 一 
证 书 机 构 签发 证 书 ， 指 定 认证 的 证 书 机 构 要 遵循 哪些 策略 

对 证 书 的 主体 定义 一 个 或 多 个 替换 名 , 但 如 果 主 证 书 格式 中 的 主 
体 名 字段 为 室 ， 则 该 字段 不 能 为 空 

可 选择 定义 证 书签 发 者 的 一 个 或 多 个 替换 名 


可 提供 主体 的 其 他 信息 ， 如 主体 电话 /传真 、 电 子 邮 件 地 址 等 


表示 该 证 书 主体 可 否 作为 证 书 机 构 。 本 字段 还 指定 主体 可 和 否 让 其 
他 主体 作为 证 书 机 构 。 例 如 ， 若 证 书 机 构 X 向 证 书 机 构 Y 签发 
该 证 书 ， 则 X 不 仅 能 指定 Y 可 否 作为 证 书 机 构 向 其 他 主体 签发 
证 书 ， 还 可 指定 Y 可 否 指定 别 的 主体 作为 证 书 机 构 
指定 名 字 空 间 

只 用 于 CA 证书 


9.2.3 ”数字 证 书 的 生成 
本 节 介绍 数字 证 书生 成 的 典型 过 程 。 数 字 证 书生 成 与 管理 主要 涉及 的 参与 方 有 最 终 





间 实 体 ， 如 图 9-5 所 示 。 





用 户 、 注 册 机 构 、 证 书 机 构 。 和 数字 证 书信 息 紧密 相关 的 机 构 有 最 终 用 户 〈 主 体 ) 和 证 
区 机 构 〈 签 发 者 )。 证 书 机 构 的 任务 繁多 ， 如 签发 新 证 书 、 维 护 旧 证 书 、 撤 销 因 故 无 效 证 
书 等 ， 因 此 一 部 分 证 书生 成 与 管理 任务 由 第 三 方 一 一 注册 机 构 (RA) 完成。 从 最 终 用 户 
角度 看 ， 证 书 机 构 与 注册 机 构 差别 不 大 。 技 术 上 ， 注 册 机 构 是 用 户 与 证 书 机 构 之 间 的 中 








注册 机 构 提 供 的 服务 有 : 外 接收 与 验证 最 终 用 户 的 注册 信息 ; @ 为 最 终 用 户 生成 密 
钥 ，@ 接 收 与 授权 密 钥 备份 与 恢复 请 求 ，@ 接 收 与 授权 证 书 撤销 请 求 。 
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注册 机 构 证 书 机 构 
(RA) = (CA) 
图 9-5 最 终 用 户 与 RA 和 CA 的 关系 


EB: 注册 机 构 主 要 帮助 证 书 机 构 与 最 终 用 户 间 交互 ,注册 机 构 不 能 签发 数字 证 书 ， 
证 书 只 能 由 证 书 机 构 签发 。 

数字 证 书 的 生成 步骤 如 图 9-6 所 示 ， 下 面 对 各 步 进行 详细 介绍 。 

Bis: 密 钥 生 成 。 生 成 密 钥 可 采用 的 方式 有 如 下 两 种 。 

(1) 主体 〈 用 户 / 组 织 ) 可 采用 特定 软件 生成 公 钥 / 私 钥 对 ， 该 软件 通常 是 Web 浏览 
器 或 Web 服务 器 的 一 部 分 ， 也 可 以 使 用 特殊 软件 程序 。 主 体 必须 秘密 保存 私 钥 ， 并 将 公 
钥 、 身 份 证 明 与 其 他 信息 发 送 给 注册 机 构 ， 如 图 9-7 所 示 。 


<À 密 钥 生 成 
<Z 
注册 == = 















































Į 主体 n MES 
一 下 一 ge) \ A 
ERER 私 钥 全 
图 9-6 数字 证 书 的 生成 步 又 图 9-7 主体 生成 密 钥 对 


(2) 当 用 户 不 知道 密 钥 对 生成 技术 或 要 求 注册 机 构 集中 生成 和 发 布 所 有 密 钥 ， 以 便 
于 执行 安全 策略 和 密 钥 管理 时 ， 也 可 由 注册 机 构 为 主体 〈 用 户 ) 生成 密 钥 对 。 该 方法 的 
缺陷 是 注册 机 构 知 道 用 户 私 钥 ， 且 在 向 主体 发 送 途中 也 可 能 泄漏 。 注 册 机 构 为 主体 生成 
密 钥 对 示意 图 如 图 9-8 所 示 。 


d E enen 
p= 
注册 机 构 ) 
(RA) 


用 户 X 的 私 钥 E kenn 
图 9-8 注册 机 构 主 体 生成 密 钥 对 示意 图 


第 2 步 : 注册 。 该 步骤 发 生 在 第 1 步 由 主体 生成 密 钥 对 情形 下 ， 若 在 第 1 步 由 RA 
为 主体 生成 密 钥 对 ， 则 该 步骤 在 第 1 步 中 完成 。 

假设 用 户 生成 密 钥 对 ， 则 要 向 注册 机 构 发 送 公 钥 和 相关 注册 信息 〈 如 主体 名 ， 将 置 
于 数字 证 书 中 ) 及 相关 证 明 材 料 。 用 户 在 特定 软件 的 引导 下 正确 地 完成 相应 输入 后 通过 
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Internet 提交 至 注册 机 构 。 证 书 请 求 格式 已 经 标准 化 ， 称 为 证 书签 名 请 求 〈Certificate 
Signing Request, CSR), PKCS#10 证 书 申请 结构 如 图 9-9 所 示 。 有 关 CSR 的 详细 信息 可 
参看 公 钥 加 密 标准 PKCS#10。 

注意 : 证 明 材 料 未 必 一 定 是 计算 机 数据 ， 有 时 也 可 以 是 纸 质 文档 ( 如 护照 、 营 业 执 
照 、 收 入 /税收 报表 复印 件 等 )， 如 图 9-10 所 示 。 


























证 书 申请 信息 A 
+ 版 本 FS 
er D fon 9 
a 主体 e E 
签名 算法 A TRA 
签名 私 钥 
图 9-9 PKCS#10 证 书 申请 结构 图 9-10 主体 将 公 钥 与 证 明 材料 发 送 到 注册 机 构 
第 3 步 : 验证 。 接 收 到 公 钥 及 相关 证 明 材料 后 ， 注 册 机 构 须 验 证 用 户 材料 ， 验 证 分 
为 以 下 两 个 层面 。 


(1) RA 要 验证 用 户 材 料 ， 以 明确 是 否 接受 用 户 注册 。 若 用 户 是 组 织 ， 则 RA 需要 检 
查 营业 记录 、 历 史 文件 和 信用 证 明 ; 若 用 户 为 个 人 ， 则 只 需 简单 证 明 ， 如 验证 邮政 地 址 、 
电子 邮件 地 址 、 电 话 号 码 或 护照 、 驾 照 等 。 

(2) 确保 请 求证 书 的 用 户 拥有 与 向 RA 的 证 书 请 求 中 发 送 的 公 钥 相 对 应 的 私 钥 。 这 
个 检查 被 称 为 检查 私 钥 的 拥有 证 明 (Proof Of Possession，POP)。 主 要 的 验证 方法 有 如 下 
几 种 。 

O RA 可 要 求 用 户 采用 私 钥 对 证 书签 名 请 求 进行 数字 签名 。 若 RA 能 用 该 用 户 公 钥 
验证 签名 正确 性 ， 则 可 相信 该 用 户 拥 有 与 其 证 书 申请 中 公 钥 一 致 的 私 钥 。 

@ RA 可 生成 随机 数 挑战 信息 ， 用 该 用 户 公 钥 加 密 ， 并 将 加 密 后 的 挑战 值 发 送 给 用 
户 。 若 用 户 能 用 其 私 钥 解密 ， 则 可 相信 该 用 户 拥有 与 公 钥 相 匹 配 的 私 钥 。 

@ RA 可 将 CA 所 生成 的 数字 证 书 采用 用 户 公 钥 加 密 后 ， 发 送 给 该 用 户 。 用 户 需要 
用 与 公 钥 匹配 的 私 钥 解密 方 可 取得 明文 证 书 一 一 也 实现 了 私 钥 拥 有 证 明 的 验证 。 

第 4 步 : 证 书生 成 。 设 上 述 所 有 步骤 成 功 ， 则 RA 将 用 户 的 所 有 细节 传递 给 证 书 机 
构 。 证 书 机 构 进行 必要 的 验证 ， 并 生成 数字 证 书 。 证 书 机 构 将 证 书 发 给 用 户 ， 并 在 CA 
维护 的 证 书目 录 〈Certificate Directory) 中 保留 一 份 证 书记 录 。 然 后 证 书 机 构 将 证 书 发 送 
给 用 户 ， 可 附 在 电子 邮件 中 ， 也 可 向 用 户 发 送 一 个 电子 邮件 ， 通 知 其 证 书 已 生成 ， 让 用 
户 从 CA 站 点 下 载 。 数 字 证 书 的 格式 实际 上 是 不 可 读 的 ， 但 应 用 程序 可 对 数字 证 书 进 
行 分 析 解 释 ， 例如， 打开 Internet Explorer 浏览 器 浏览 证 书 时 ， 可 以 看 到 可 读 格式 的 证 
书 细节 。 


9.2.4 数字 证 书 的 签名 与 验证 


正如 护照 需要 权威 机 构 的 印章 与 签名 一 样 ， 数 字 证 书 也 需要 证 书 机 构 CA 采用 其 
私 钥 签 名 后 方 是 有 效 、 可 信 的 。 接 下 来 ， 分 别 就 CA 签名 证 书 及 数字 证 书 验 证 加 以 
介绍 。 
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1. CA 签名 证 书 
此 前 介绍 过 X.509 证 书 结构 ， 其 中 最 后 一 个 字段 是 证 书 机 构 的 数字 签名 ， 即 每 个 数 
字 证 书 不 仅 包 含 用 户 信息 〈 如 主体 名 、 公 钥 等 )， 同 时 还 包含 证 书 机 构 的 数字 签名 。CA 
对 数字 证 书签 名 过 程 如 图 9-11 所 示 。 
Version 


Certificate Serial Number 
Signature Algorithm Identifier 











Tssuer Name 
Validity(Not Before/Not After) 


Subject Name = | 消息 摘要 算法 
Subject Public Key Information 
Issuer Uniqutte Identifier 
Subject Unique Identifier 
oe 消息 摘要 
Certification Authority’s Digital Signature 






































( => er 


证 书 机 构 的 私 钥 
数字 签名 


图 9-11 CA 对 数字 证 书签 名 过 程 


由 图 9-11 可 知 ， 在 向 用 户 签发 数字 证 书 前 ，CA 首先 要 对 证 书 的 所 有 字段 计算 一 个 
消息 摘要 (使 用 MD-5 或 SHA-1 等 杂凑 算法 )， 而 后 用 CA 私 钥 加 密 消息 摘要 如 采用 
RSA 算法 )， 构 成 CA 的 数字 签名 。CA 将 计算 出 的 数字 签名 作为 数字 证 书 的 最 后 一 个 字 
段 插入 ， 类 似 于 护照 上 的 印章 与 签名 。 该 过 程 由 密码 运算 程序 自动 完成 。 


2. 数字 证 书 验 证 

数字 证 书 的 验证 步骤 如 图 9-12 所 示 。 主 要 包括 如 下 几 步 。 

a) 用 户 将 数字 证 书 中 除 最 后 一 个 字段 以 外 的 所 有 字段 输入 消息 摘要 算法 〈 杂 凑 算 
法 )。 该 算法 与 CA 签发 证 书 时 使 用 的 杂凑 算法 相同 ，CA 会 在 证 书 中 指定 签名 算法 及 杂 
凌 算 法 ， 令 用 户 知 道 相应 的 算法 信息 。 

(2) 由 消息 摘要 算法 计算 数字 证 书 中 除 最 后 一 个 字段 外 其 他 字段 的 消息 摘要 ， 设 该 
消息 摘要 为 MD-1。 

G) 用 户 从 证 书 中 取出 CA 的 数字 签名 (证 书 中 最 后 一 个 字段 )。 

(4) 用 户 用 CA 的 公 钥 对 CA 的 数字 签名 信息 进行 解密 运算 。 

(5) 解密 运算 后 获得 CA 签名 所 使 用 的 消息 摘要 ， 设 为 MD-2。 

(6) 用 户 比 较 MD-1 与 MD-2。 若 两 者 相符 ， 即 MD-1=MD-2， 则 可 肯定 数字 证 书 已 
CA 用 其 私 钥 签名 ， 和 否则 用 户 不 信任 该 证 书 ， 将 其 拒绝 。 
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Version 
Certificate Serial Number 
Signature Algorithm Identifier 
Issuer Name 
Validity(Not Before/Not After) 
Subject Name 一 一 》| EE | 第 ! 步 
Subject Publec Key Information 
Issuer Unique Identifier 
Subject Unique Identifier 
Extensions (MD-1) 第 2 步 
Certification Authority’ s Digtal Signature 









































取出 数字 签名 | 第 3 步 


第 4 步 
— C connec 





签名 验证 算法 
(解密 运算 ) 


Fe ot 
证 书 有 效 ,接收 证 书 无 效 ,拒绝 
第 5 步 





消息 摘要 
(MD-2) 





图 9-12 验证 CA 的 数字 签名 


9.25 “数字 证 书 层 次 与 自 签 名 数字 证 书 

设 有 两 个 用 户 Alice 49 Bob, 二 者 希望 进行 安全 通信 ,在 Alice 收 到 Bob 的 数字 证 书 
时 ， 需 对 该 证 书 进 行 验证 。 由 前 可 知 ， 验 证 证 书 时 需 使 用 颁发 该 证 书 的 CA 的 公 钥 ， 这 
就 涉及 如 何 获取 CA 公 钥 的 问题 。 

若 Alice 与 Bob 具有 相同 的 证 书 机 构 (CA), W Alice 显然 已 知 签发 Bob 证 书 的 CA 
的 公 钥 。 若 Alice 与 Bob 归属 于 不 同 的 证 书 机 构 ， 则 Alice 需 通 过 如 图 9-13 所 示 的 信任 
pE (CA 层次 结构 ) 获取 签发 证 书 的 CA AH. 


根 CA 




















二 级 CA 二 级 CA| 二 级 CA 












































pp. 
三 级 CA 三 级 CA sis 三 级 CA 三 级 CA 





























图 9-13 CA 层次 结构 


图 9-13 可 看 出 ，CA 层次 从 根 CA 开始 ， 根 CA 下 面 有 一 个 或 多 个 二 级 CA， 每 个 二 
级 CA 下 面 有 一 个 或 多 个 三 级 CA， 等 等 ， 类 似 于 组 织 中 的 报告 层次 体系 ，CEO 或 总 经 理 具 
有 最 高 权威 ， 高 级 经 理 向 CEO 或 总 经 理 报告 ， 经 理 向 高 级 经 理 报告 ， 员 工 向 经 理 报 告 …… 

CA 层次 使 根 CA 不 必 管 理 所 有 的 数字 证 书 , 可 以 将 该 任务 委托 给 二 级 机 构 , 每 个 二 
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级 CA 又 可 在 其 区 域内 指定 三 级 CA， 每 个 三 级 CA 又 可 指定 四 级 CA， 依 次 进行 。 

如 图 9-14 所 示 , 车 Alice 从 三 级 CA(B1) 取得 证 书 , 而 Bob 从 另 一 个 三 级 CA (B11) 
取得 证 书 。 显 然 ，Alice 不 能 直接 获取 B11 的 公 钥 ， 因 此 ， 除 了 自身 证 书 外 ，Bob 还 需 向 
Alice 发 送 其 CA (B11) 的 证 书 ， 告 知 Alice B11 的 公 钥 。Alice 根据 B11 的 公 钥 对 Bob 
证 书 进行 计算 验证 。 

















二 级 CA 二 级 CA 二 级 CA 
(Al) 









































三 级 CA 三 级 CA 
(Bl) (B2) 


Alice oo oe Bob 


图 9-14 同一 根 CA 中 不 同 CA 所 辖 用 户 


显然 ， 在 使 用 B11 公 钥 对 Bob 证 书 进行 验证 前 ，Alice 需 对 B11 证 书 的 正确 性 进行 
验证 (确认 对 B11 证 书 的 信任 )。 由 图 9-14 可 见 ，B11 的 证 书 是 由 A3 签发 的 ， 则 Alice 
需 获得 A3 的 公 钥 以 验证 A3 对 B11 证 书 的 签名 。 同 理 ， 为 确保 AS 公 钥 的 真实 性 与 正确 
性 ，Alice 需 获 取 A3 的 证 书 ， 并 需 获 得 根 CA 公 钥 对 A3 证 书 进行 验证 。 证 书 层 次 与 根 
CA 的 验证 问题 如 图 9-15 所 示 。 


[u 
这 
ie) 
> 
mm 
这 
fe) 
> 




















Digital Certificate 


Issuer Name: 


Subject Name:Root 








Digital Certificate 





Issuer Name: Root ”二 一 
Subject Name: A3 














Digital Certificate 


Issuer Name: A3 ”二 
Subject Name: B11 

















Digital Certificate 








Issuer Name: B11 
Subject Name: Bob 











图 9-15 ”证书 层次 与 根 CA 的 验证 问题 
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图 9-15 可 见 , 根 CA 是 验证 链 的 最 后 一 环 , 根 CA 自动 作为 可 信任 CA, 根 CA 证 
书 为 自 签名 证 书 (Self-signed Certificate)， 即 根 CA 对 自 
































己 的 证 书签 名 ， 如 图 9-16 所 示 ， 证 书 的 签发 者 名 和 主体 Digital Certificate 

名 均 指向 根 CA。 存 储 与 验证 证 书 的 软件 中 包含 预 编程 、 RE 

便 编 码 的 根 CA 证 书 。 Subject Name: Root 
于 根 CA 证 书 存放 于 Web 浏览 器 和 Web 服务 器 之 = 



































类 的 基础 软件 中 , 因此 Alice 无 须 担心 根 CA 证 书 的 认证 图 9.16 自 签名 证 书 

问题 ， 除 非 其 使 用 的 基础 软件 本 身 来 自 于 非 信任 站 点 。 

Alice 只 需 采 用 遵循 行业 标准 、 被 广泛 接受 的 应 用 程序 ， 即 可 保证 根 CA 证 书 的 有 效 性 。 
图 9-17 显示 了 验证 证 书 链 的 过 程 。 





Alice Bob 
会 À 
Bob 的 数字 
第 2 步 : 需要 B11 的 证 书 来 (m| 证 书 
验证 Bob 的 证 书 第 1 步 : 证 明 公 钥 一 数字 证 书 
BIRRE 
Bas. 需要 A3 的 证 书 来 “六 -| 证 
验证 B11 的 证 书 
第 3 步 ， B11 的 证 书 


A3 的 数字 
证 书 





第 6 步 : A3 的 CA 是 根 CA， =, 
Alice 已 信任 根 CA， 这 就 是 = 
够 了 第 5 步 : A3 的 证 书 


图 9-17 验证 证 书 链 的 过 程 
9.2.6 ”交叉 证 书 


每 个 国家 均 拥有 不 同 的 根 CA， 同 一 国家 也 可 能 拥有 多 个 根 CA。 例 如 ， 美 国 的 根 
CA 有 Verisign、Thawte 和 美国 邮政 局 。 这 时 ， 不 是 各 方 都 能 信任 同一 个 根 CA。 在 9.2.5 
节 的 示例 中 ， 若 Alice 与 Bob 身 处 不 同 国 家 ， 即 根 CA 不 同时 ， 也 存在 着 根 CA 的 信任 
问题 。 

针对 以 上 情形 ， 采 用 交叉 证 书 〈Cross-certification)。 由 于 实际 中 不 可 能 有 一 个 认证 
每 个 用 户 的 统一 CA， 因此 要 用 分 布 式 CA 认证 各 个 国家 、 政 治 组 织 与 公司 机 构 的 证 书 。 
这 种 方式 减少 了 单个 CA 的 服务 对 象 ， 同 时 确保 CA 可 独立 运作 。 此 外 ， 交 叉 证 书 使 不 
E] PKI 域 的 CA 和 最 终 用 户 可 以 互动 。 交 叉 证 书 是 对 等 CA 签发 ， 建 立 的 是 非 层 次 信任 
路 径 。 

如 图 9-18 所 示 ，Alice 与 Bob HJIR CA 不 同 , 但 他 们 可 进行 交 义 认证 ， 即 Alice 的 根 
CA 从 Bob 的 根 CA 那里 取得 了 自身 的 证 书 , 同样 Bob 的 根 CA 从 Alice 的 根 CA 处 取得 
了 自己 的 证 书 。 尽管 Alice 的 基础 软件 只 信任 其 自己 的 根 CA, 但 因为 Bob 的 根 CA 得 到 
了 Alice 的 根 CA 的 认证 ， 则 Alice 也 可 信任 Bob 的 根 CA。Alice 可 采用 下 列 路 径 验 证 
Bob 的 证 书 : Bob-Q2-P1-Bob’s RCA-Alice’s RCA. 
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日 本 的 根 CA | ----~ ALME PERA 






















































































二 级 CA 二 级 CA 
(Al) (P1) 
] 
三 级 CA 三 级 CA a 三 级 CA 三 级 CA 
(B1) (B2) (Q1) (Q2) 
Alice aa sss Bob | 








图 9-18 CA 的 交叉 证 书 


利用 证 书 层次 、 自 签名 证 书 和 交叉 证 书 技术 ， 令 所 有 用 户 均 可 验证 其 他 用 户 的 数字 
证 书 ， 以 确定 信任 证 书 或 拒绝 证 书 。 

9.2.7 ”数字 证 书 的 撤销 

数字 证 书 撤销 的 常见 原因 有 : 数字 证 书 持 有 者 报告 该 证 书 中 指定 公 钥 对 应 的 私 钥 
被 破解 被 瓷 )，@ CA 发 现 签发 数字 证 书 时 出 错 ，@ 证 书 持 有 者 离职 ， 而 证 书 为 其 在 职 
期 间 答 发 的 。 发 生 第 一 种 情形 需 由 证 书 持 有 者 进行 证 书 撤销 申请 ， 发 生 第 三 种 情形 时 需 
由 组 织 提出 证 书 撤销 申请 ; 发 生 第 二 种 情形 时 ，CA 启动 证 书 撤销 。CA 在 接 到 证 书 撤销 
请 求 后 ， 首 先 认证 证 书 撤销 请 求 ， 然 后 接受 请 求 ， 启 动 证 书 撤销 ， 以 防止 攻击 者 滥用 证 
书 撤销 过 程 撤销 他 人 证 书 。 

Alice 使 用 Bob 的 证 书 与 Bob 安全 通信 前 ， 需 明确 以 下 两 点 : 

(1) 该 证 书 是 否 属于 Bob。 

(2) 该 证 书 是 否 有 效 ， 是 否 被 撤销 。 

Alice 可 通过 证 书 链 明确 第 一 个 问题 , 而 明确 第 二 个 问题 则 需 采用 证 书 撤销 状态 检查 
机 制 。CA 提供 的 证 书 撤销 状态 检查 机 制 如 图 9-19 所 示 。 
































数字 证 书 撤销 检查 
脱 机 撤销 状态 检查 联机 撤销 状态 检查 
证 书 撤销 列表 | 联机 证 书 验证 协议 | | 简单 证 书 验证 协议 
(CRL) (OCSP ) (SCVP) 

















图 9-19 证书 撤销 状态 检查 机 制 
下 面 对 这 儿 种 撤销 检查 机 制 逐一 加 以 介绍 。 


1. 脱 机 证 书 撤销 状态 检查 

证 书 撤销 列表 (Certificate Revocation List, CRL) 是 脱 机 证 书 撤 销 状态 检查 的 主要 
方法 。 最 简单 的 CRL 是 由 CA 定期 发 布 的 证 书 列表 ， 标 识 该 CA 撤销 的 所 有 证 书 。 但 该 
表 中 不 包含 过 了 有 效 期 的 失效 证 书 。CRL 中 只 列 出 在 有 效 期 内 因 故 被 撤销 的 证 书 。 

每 个 CA 签发 自己 的 CRL，CRL 包含 相应 的 CA 签名 ， 易 于 验证 。CRL 为 一 个 依 
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时 间 增 长 的 顺序 文件 ,包括 在 有 效 期 内 因 故 被 撤销 的 所 有 证 书 ,是 CA 签发 的 所 有 CRL 
的 子 集 。 每 个 CRL 项 目 列 出 证 书 序号 、 撤 销 日 期 和 时 间 、 撤 销 原 因 。CRL 顶层 还 包 
括 CRL 发 布 的 日 期 、 时 间 和 下 一 个 CRL 发 布 时 间 。 图 9-20 给 出 了 CRL 文件 的 逻辑 
视图 。 

Alice 对 Bob 数字 证 书 的 安全 性 检查 操作 如 下 。 

CD 证 书 有 效 期 检查 : 比较 当前 日 期 与 证 书 有 效 期 ， 确 保证 书 在 有 效 期 内 。 

(2) 签名 检查 : 检查 Bob 的 证 书 能 和 否 用 其 CA 的 签名 验证 。 








CA: XYZ 
Certificate Revocation List(CRL) 
This CRL: 1 Jan 2002, 10: 00 am 
Next CRL: 12 Jan 2002, 10: 00 am 





Serial Number Date Reason 
1234567 30-Dec-01 Private key compromised 
2819281 30-Dec-01 Changedjob 








图 9-20 CRL 文件 的 逻辑 视图 
(3) 证 书 撤销 状态 检查 : 根据 Bob 的 CA 签发 的 最 新 CRL 检查 Bob 的 证 书 是 否 在 
证 书 撤销 列表 中 。 
完成 以 上 检查 后 ，Alice 方 能 信任 Bob 的 数字 证 书 ， 相 应 过 程 如 图 9-21 所 示 。 



























































CA: XYZ 
Certificate Revocation List(CRL) 
This CRL: 1 Jan 2002, 10: 00 am 
Alice Next CRL: 12 Jan 2002, 10: 00 am 
O Date Reason 
1234567 30-Dec-01 Key compromised 
30-Dec-01  Changedjob 
Version x we 1 
Cerificate Serial Number er T 
Signature Algorithm Identifier 
Issuer Name 
Validity (Not Before/Not After) 检查 1 : 要 保证 证 书 没 有 过 期 
Subject Name 
Subject Public Key Information 
Issuer Unique Identifier 
Subject Unique Identifer 
Extensions 
Certification Authority’s Digital Signature 检查 2 : 要 验证 整个 证 书 /签名 机 构 链 
Bob 的 数字 证 书 


9-21 检验 证 书 及 CRL 在 检验 过 程 中 作用 
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随 着 时 间 的 推移 ，CRL 可 能 会 变 得 很 大 。 一 般 假设 ,每 年 撤销 的 未 到 期 证 书 达 10% 
左右 , # CA 有 100 000 个 用 户 ， 则 两 年 时 间 可 能 在 CRL 中 有 20 000 个 项 目 ,数目 是 相 
当 庞大 的 。 在 这 种 情形 下 , 通过 网 络 接收 CRL 文件 将 是 一 个 很 大 的 瓶颈 。 为 解决 该 问题 ， 
引出 了 差异 CRL (Delta CRL) 的 概念 。 

最 初 ，CA 可 以 向 使 用 CRL 服务 的 用 户 发 一 个 一 次 性 的 完全 更 新 CRL， 称 为 基础 
CRL (Base CRL )。 下 次 更 新 时 ，CA 不 必 发 送 整个 CRL， 而 只 需 发 送 上 次 更 新 以 来 改变 
的 CRL。 这 个 机 制 令 CRL 文件 的 长 度 缩小 ， 从 而 加 快 传输 速度 。 基 础 CRL 的 改变 称 为 
差异 CRL， 差 异 CRL 也 是 一 个 需要 CA 签名 的 文件 。 图 9-22 给 出 了 每 次 签发 完整 CRL 
与 只 签发 差异 CRL 的 区 别 。 
































P CA: XYZ CA: XYZ 
First CRL 
distribution CRE Base CRI, | 
CA: XYZ CA: XYZ 
CRL Update 1 CRL Delta CRL 
CA: XYZ CA: XYZ 
CRL Update 2 CRL Delta CRL 
方法 1 : 每 次 签发 方法 2 : 只 签发 
完整 CRL 差异 CRL 


图 9-22 ”每 次 签发 完整 CRL 与 只 签发 差异 CRL 的 区 别 


使 用 CRL 时 ， 需 注意 以 下 几 点 : @ 差 异 CRL 文件 包含 一 个 差异 CRL 指 识 符 ， 告 知 
用 户 该 CRL 为 差异 CRL, 用 户 需 将 该 差异 CRL 文件 与 基础 CRL 文件 一 起 使 用 , 得 到 完 
整 CRL; OHA CRL 均 有 序号 ， 用 户 可 检查 是 否 拥 有 全 部 差异 CRL; @ 基 础 CRL 可 能 
有 一 个 差异 信息 指 识 符 ， 告 知 用 户 这 个 基础 CRL 具有 相应 的 差异 CRL， 还 可 提供 差异 
CRL 地 址 和 下 一 个 差异 CRL 的 发 布 时 间 。 图 9-23 给 出 了 CRL 的 标准 格式 。 





Version 
Signature Algorithm Identifier 
Issuer Name KF 
This Update (Date and Time) 
Next Update (Date and Time) 
User CERTIFICATE Serial Number Revocation Data CRL Entry Extensions 


重复 项 





CRL Samara 
Signature 
图 9-23 CRL 的 标准 格式 
如 图 9-23 所 示 ，CRL 格式 中 有 几 个 头 字段 、 几 个 重复 项 目 和 几 个 尾 字 段 。 显 然 ， 序 
号 、 撤 销 日 期 、CRL 项 目 扩展 之 类 的 字段 要 对 CRL 中 的 每 个 撤销 证 书 重 复 。 而 其 他 字 
段 构成 头 字段 、 尾 字段 两 部 分 。 下 面 介绍 这 些 字段 ， 如 表 9-3 所 示 。 
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表 9-3 CRL 的 不 同 字 段 





版 本 (Version) 


表示 CRL 版 本 





签名 算法 标识 符 (Signature Algorithm 
Identifier) 


CA 签名 CRL 所 用 的 算法 〈 如 SHA-1 与 RSA) ， 表 示 CA 先 
用 SHA-1 算法 计算 CRL 的 消息 摘要 ， 然 后 用 RSA 算法 签名 





签发 者 名 (Issuer Name) 


标识 CA 的 可 区 








本 次 更 新 日 期 与 时 间 (This Update 
Date and Time) 


区 分 名 (DN) 
签发 这 个 CRL 的 日 期 与 时 间 值 





下 次 更 新 日 期 与 时 间 (Next Update 
Date and Time) 


签发 下 一 个 CRL 的 日 期 与 时 间 值 





用 户 证 书 序号 (User Certificate Serial 
Number) 





撤销 证 书 的 证 书号 ， 该 字段 对 每 个 撤销 证 书 重复 





撤销 日 期 (Revocation Date) 

CRL 项 目 扩展 (CRL Entry Extension) 
CRL 扩展 (CRL Extension) 

签名 (Signature ) 





撤销 证 书 的 日 期 和 时 间 ， 该 字段 对 每 个 吊销 证 书 重复 
见 表 9-4， 每 个 CRL 项 目 有 一 个 扩展 

见 表 9-5， 每 个 CRL 有 一 个 扩展 

包含 CA 签名 





这 里 , 需 明确 区 别 CRL 项 目 扩展 与 CRL 扩展 , CRL 项 目 扩展 对 每 个 撤销 证 书 重复 ， 


而 整个 CRL 只 有 一 个 CRL 扩展 ， 


a. ~ 


原因 代码 (Reason Code) 


扣 证 指示 代码 C Hold 
Instruction Code ) 


证 书签 发 者 〈 Certificate 


Issuers) 





撤销 日 期 (Invalidity Date) 


字段 


如 表 9-4 和 表 9-5 所 示 。 
表 9-4 CRL 项 目 扩展 


指定 证 书 撤销 原因 ， 可 能 是 Unspecified (RIRE), Key Compromise 
( 密 钥 损坏 )，CA Compromise (CA 被 破坏 )，Superseded (HA), 
Certificate Hold (证 书 暂 扣 ) 

证 书 可 以 暂 扣 ， 即 在 指定 时 间 内 失效 (可 能 因为 用 户 休假 ， 
Via) AS 
标识 证 书签 发 者 名 和 间接 CRL. 间接 CRL 是 第 三 方 提供 的 , 而 非 证 书 
签发 者 提供 。 第 三 方 可 汇总 多 个 CA 的 CRL, 发 一 个 合并 的 间接 CRL， 
使 CRL 信息 请 求 更 加 方便 

发 生 私 钥 泄 漏 或 数字 证 书 失效 的 日 期 和 时 间 


需 保证 期 


用 )， 该 字段 可 指定 扣 证 原因 


#9-5 CRL 扩展 
描述 





机 构 密 钥 标识 符 (Authority Key 
Identifier) 


区 别 一 个 CA 使 用 的 多 个 CRL 签名 密 钥 





签发 者 别名 (Issuer Alternative Name ) 


将 签发 者 与 一 个 或 多 个 别名 相 联 系 





CRL 号 (CRL Number) 


差异 CRL 标识 符 (Delta CRL Indicator) 


序号 ( 随 每 个 CRL 递增 )， 帮 助 用 户 明确 是 否 拥有 此 前 所 有 
的 CRL 


表示 CRL 为 差异 CRL 





签发 发 布点 (Issuing Distribution 
Point) 





表示 CRL 发 布点 或 CRL 分 区 .CRL 发 布点 可 在 CRL 很 大 
时 使 用 一 一 不 用 发 布 一 个 庞大 的 CRL, 而 是 分 解 为 多 个 CRL 
发 布 。CRL 请 求 者 请 求 和 处 理 这 些小 的 CRL。CRL 发 布点 
提供 了 小 CRL 的 地 址 指针 〈 即 DNS 名 、IP 地 址 或 文件 名 ) 
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和 最 终 用 户 一 样 ，CA 本 身 也 用 证 书 标识 。 在 某 些 情形 下 ，CA 证 书 也 需 撤 销 ， 类 似 
于 CRL 提供 最 终 用 户 证 书 的 撤销 信息 表 ， 机 构 撤销 列表 CARL) 提供 了 CA 证 书 的 撤销 
信息 表 。 


2. 联机 证 书 撤销 状态 检查 

于 CRL 可 能 过 期 同时 CRL 存在 长 度 问题 ,基于 CRL 的 脱 机 证 书 撤销 状态 检查 
不 是 检查 证 书 撤销 的 最 好 方式 。 因 此 ， 出 现 了 两 个 联机 检查 证 书 状态 协议 : 联机 证 书 状 
态 协议 和 简单 证 书 检验 协议 。 

联机 证 书 状态 协议 (Online Certificate Status Protocol, OCSP) 可 以 检查 特定 时 刻 某 
个 数字 证 书 是 否 有 效 ， 是 联机 检查 方式 。 联 机 证 书 状态 协议 令 证 书 检验 者 可 以 实时 检查 
证 书 状态 ， 从 而 提供 了 更 简单 、 快 捷 、 有 效 的 数字 证 书 验 证 机 制 。 与 CRL 不 同 ， 该 方式 
无 须 下 载 证 书 列表 。 下 面 介绍 联机 证 书 状态 协议 的 工作 步骤 。 

(1) CA 提供 一 个 服务 器 ， 称 为 OCSP 响应 器 〈OCSP Responder)， 该 服务 器 包含 最 
新 证 书 撤销 信息 。 请 求 者 (客户 机 ) 发 送 联机 证 书 状 态 查 询 请 求 (OCSP Request)， 检 查 
该 证 书 是 否 撤销 。OCSP 最 常用 的 基础 协议 是 HTTP, 但 也 可 以 使 用 其 他 应 用 层 协议 〈 如 
SMTP)， 如 图 9-24 所 示 。 实 际 上 ，OCSP 请 求 还 包括 OCSP 版 本 、 请 求 服务 和 一 个 或 几 
个 证 书 标识 符 〈 其 中 包含 签发 者 的 消息 摘要 、 签 发 者 公 钥 的 消息 摘要 和 证 书 序 号 )。 为 简 
单 起 见 ， 暂 忽略 这 些 细节 。 

(2) OCSP 响应 器 查询 服务 器 的 X.500 目录 CCA 不 断 向 其 提供 最 新 证 书 撤销 信息 )， 
以 明确 特定 证 书 是 否 有 效 ， 如 图 9-25 所 示 。 


Digital Digital ace 
TE Cae X.500 目 
[OcsPii > sg Ow $ [OCS 了 > > J — 四 
OCSP 









































a OCSP > 
= 响应 器 wes 
图 9-24 OCSP 请 求 图 9-25 OCSP 证 书 撤销 状态 检查 


(3) 根据 X.500 目录 查找 的 状态 检查 结构 ，OCSP 响应 器 向 客户 机 发 送 数字 签名 的 
OCSP 响应 (OCSP Response)， 原 请 求 中 的 每 个 证 书 有 一 个 OCSP 响应 。OCSP 响应 可 以 
取 3 “MA, Bll Good. Revoked 或 Unknown. OCSP 响应 还 可 以 包含 撤销 日 期 、 时 间 和 原 
因 。 客 户 机 要 确定 相应 的 操作 。 一 般 而 言 ， 建 议 只 在 OCSP 响应 状态 为 Good 时 才 认 为 
证 书 有 效 ，OCSP 响应 如 9-26 所 示 。 

需要 注意 的 是 ，OCSP 缺少 对 与 当前 证 书 相关 的 证 书 链 有 效 性 的 检查 。 例 如 ， 假设 
Alice 要 用 OCSP 验证 Bob 的 证 书 ， 则 OCSP 只 是 告诉 Alice，Bob 的 证 书 是 否 有 效 ， 而 
不 检验 签发 Bob 证 书 的 CA 的 证 书 或 证 书 链 中 更 高 层 的 证 书 。 这 些 逻 辑 〈 验 证 证 书 链 有 
效 性 ) 要 放 在 使 用 OCSP 的 客户 机 应 用 程序 中 。 另 外 ， 客 户 机 应 用 程序 还 要 检查 证 书 有 
效 期 、 密 钥 使 用 合法 性 和 其 他 限制 。 

简单 证 书 检验 协议 (Simple Certificate Validation Protocol, SCVP) 目前 还 是 草案 ， 
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Digital 








OCSP 响 应 器 查询 
ay X.500 目 录 


<S [OcsPi=se > / 
客户 机 < 
OCSP 


Good, Revoked 向 应 7 
or Unknown mit 


图 9-26 OCSP 响应 


是 联机 证 书 状态 报告 协议 ， 用 于 克服 OCSP 的 缺点 。SCVP 与 OCSP 在 概念 上 非常 相似 ， 
这 里 仅 指 出 两 者 的 差别 ， 如 表 9-6 所 示 。 


表 9-6 OCSP 与 SCVP 的 差别 

















特 点 OCSP SCVP 
客户 端 请 求 客户 机 只 向 服务 | 客户 机 向 服务 器 发 送 整个 证 书 ， 因 此 服务 器 可 以 进行 更 多 的 检 
器 发 送 证 书 序 号 查 
信任 链 只 检查 指定 证 书 | 客户 机 可 以 提供 中 间 证 书 集合 ， 让 服务 器 检查 
检查 只 检查 证 书 是 否 | 客户 机 可 以 请 求 其 他 检查 (如 检查 整个 信任 链 )、 考 虑 的 撤销 信 
it 撤销 息 类 型 (如 服务 器 是 否 用 CRL 或 OCSP 进行 撤销 检查 )， 等 等 


客户 机 可 以 指定 感 兴趣 的 其 他 信息 〈 如 服务 器 要 返回 撤销 状态 
证 明 或 返回 信任 验证 所 用 的 证 书 链 ， 等 等 

客户 机 可 以 请 求 检查 证 书 的 过 去 事件 。 例如 , 假设 Bob 向 Alice 
发 了 证 书 和 签名 文档 ， 则 Alice 可 以 用 SCVP 检查 Bob 的 证 书 
在 签名 时 是 否 有 效 〈 而 非 验 证 签名 时 ) 


返回 信息 只 返回 证 书 状 态 


其 他 特性 无 








9.2.8 漫游 证 书 


数字 证 书 应 用 的 普及 产生 了 证 书 的 便携 性 需求 。 此 前 提供 证 书 及 其 对 应 私 钥 移 动 性 
的 实际 解决 方案 主要 分 为 两 种 : 四 智能 卡 技术 ， 在 该 技术 中 ， 公 钥 / 私 钥 对 存放 在 卡 上 ， 
但 这 种 方法 存在 缺陷 ， 如 易 丢 失 和 损坏 ,并 且 依 赖 读 卡 器 (虽然 带 USB 接口 的 智能 钥匙 
不 依赖 于 读 卡 器 ,但 成 本 太 高 ); @ 将 证 书 和 私 钥 复 制 到 一 张 软盘 上 备用 , 但 软盘 不 仅 容 
易 丢 失 和 损坏 ， 而 且 安 全 性 较 差 。 

一 个 新 的 解决 方案 就 是 使 用 漫游 证 书 。 它 通过 第 三 方 软件 提供 ， 在 任何 系统 中 ， 只 
需 正 确 配 置 ， 该 软件 (或 插件 ) 就 可 以 允许 用 户 访问 自己 的 公 钥 / 私 钥 对 。 其 基本 原理 非 
常 简单 ， 如 下 所 述 。 

(1) 将 用 户 的 证 书 和 私 钥 放 在 一 个 安全 的 中 央 服 务 器 ( 称 为 证 件 服务 器 ) 数据 库 中 ， 
如 图 9-27 所 示 。 

(2) 当 用 户 登 录 到 一 个 本 地 系统 时 ， 使 用 用 户 名 和 口令 通过 Internet 向 证 件 服务 器 
认证 自己 ， 如 图 9-28 所 示 。 

G) 证 件 服务 器 用 证 件数 据 库 验证 用 户 名 和 口令 ， 如 果 认 证 成 功 ， 则 证 件 服 务 器 将 
数字 证 书 与 私 钥 文 件 发 送 给 用 户 ， 如 图 9-29 所 示 。 

(4) 当 用 户 完成 工作 并 从 本 地 系统 注销 后 ， 该 软件 自动 删除 存放 在 本 地 系统 中 的 用 
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Digital 
Certificate 
服务 
® OCSE 请 求 > 




















User Password | Certificate | Key file 

















图 9-27 漫游 证 书 用 户 注册 








Password | Certificate | Key file 











图 9-28 漫游 证 书 用 户 登 录 





ld=xxx 
Password 
= 
ey mae 
登录 a9 
Ss g = 


User Password 




















Certificate | Key file 








图 9-29 ”漫游 证 书 用 户 接收 数字 证 书 与 私 钥 文件 


户 证 书 和 私 钥 。 

这 种 解决 方案 的 优点 是 可 以 明显 提高 易 用 性 、 降 低 证 书 的 使 用 成 本 ， 但 它 与 已 有 的 
一 些 标 准 不 一 致 ， 因 而 在 应 用 中 受到 了 一 定 限制 。 在 小 额 支付 等 低 安全 要 求 的 环境 中 ， 
该 解决 方案 是 一 种 较 合 适 的 方法 。 


9.2.9 ”属性 证 书 





一 个 与 数字 证 书 相关 的 新 标准 是 属性 证 书 (Attribute Certificate, AC) 标准 。 属 性 


证 书 的 结构 与 数字 证 书 相似 ， 但 作用 不 同 。 属 性 证 书 不 包含 用 户 的 公 铀 ， 而 是 在 实体 及 


其 一 组 
一 样 ， 
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属性 之 间 建 立 联系 (如 成 员 关 系 、 角 色 、 安 全 清单 和 其 他 授权 细节 )。 和 数字 证 书 





属性 证 书 也 通过 签名 检验 内 容 的 改变 。 


属性 证 书 可 以 在 授权 服务 中 控制 对 网 络 、 数 据 库 等 的 访问 和 对 特定 物理 环境 的 访问 。 
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_ 9.3 _ PKI 体系 结构 


X.509 标准 定义 了 数字 证 书 结构 、 格 式 与 字段 ， 还 指定 了 发 布 公 钥 的 过 程 。 为 了 扩 
展 该 标准 , 令 其 更 通用 ， Le Se 
Key Infrastructure X.509, PKIX) 工作 组 ， 扩 展 X.509 标准 的 基本 思想 ， 指 定 Internet 中 
如 何 部 署 数字 证 书 ,此 外 ,还 为 不 同 领域 的 应 用 程序 定义 了 其 他 PKI abou PKIX 
模型 进行 简要 介绍 。 


9.3.1 PKIX 服务 


PKIX 提供 的 公 钥 基础 设施 服务 包括 以 下 几 个 方面 。 

(1) 注册 。 该 过 程 是 最 终 实体 (主体 ) 向 CA 介绍 自己 的 过 程 , 通常 通过 注册 机 构 进行 。 

(2) 初始 化 。 处 理 基础 问题 ， 如 最 终 实体 如 何 保证 对 方 是 正确 的 CA。 

(3) Wilk. CA 对 最 终 实 体 生成 数字 证 书 并 将 其 交 给 最 终 实体 ， 维 护 复制 记录 ， 并 
在 必要 时 将 其 复制 到 公共 目录 中 。 

(4) 密 钥 对 恢复 。 一 定时 间 内 可 能 要 恢复 加 密 运 算 所 用 的 密 钥 ， 以 便 旧 文档 解密 。 
密 钥 存档 和 恢复 服务 可 以 由 CA 提供 ， 也 可 由 独立 的 密 钥 恢复 系统 提供 。 

(5) 密 钥 生成 。PKIX 指定 最 终 实体 应 能 生成 公 钥 / 私 钥 对 ， 或 由 CARA 为 最 终 实 体 
生成 〈 并 将 其 安全 地 发 布 给 最 终 实体 )。 

(6) 密 钥 更 新 。 可 以 从 旧 密 钥 对 向 新 密 钥 对 顺利 过 渡 ， 进 行 数字 证 书 自动 刷新 。 也 
可 提供 手工 数字 证 书 更 新 请 求 与 响应 。 

(7) 交叉 证 书 。 建 立信 任 模 型 ， 使 不 同 CA 认证 的 最 终 实体 可 以 相互 验证 。 

(8) 撤销 。PKIX 可 以 支持 两 种 证 书 状态 检查 模型 一 一 联机 (使 用 OCSP) 或 脱 机 
(CREJ: 


9.3.2 PKIX 体系 结构 


PKIX 建立 了 综合 性 文档 ， 介 绍 其 体系 结构 模型 的 5 个 域 ， 包 括 以 下 几 方 面 。 

A) X.509 v3 证 书 与 v2 证 书 撤销 列表 配置 文件 。X.509 标准 可 以 用 各 种 选项 描述 数 
字 证 书 扩展 。PKIX 把 适合 Internet 用 户 使 用 的 所 有 选项 组 织 起 来 ， 称 为 Internet 用 户 
的 配置 文件 。 该 配置 文件 (参看 RFC 2459) 指定 必须 /可 以 /不 能 支持 的 属性 ， 并 提供 
了 每 个 扩展 类 所 用 值 的 取 值 范围 。 例 如 ， 基 本 X.509 标准 没有 指定 证 书 暂 扣 时 的 指示 代 
码 一 一 PKIX 定义 了 相应 代码 。 

(2) 操作 协议 。 定 义 基础 协议 ， 向 PKI 用 户 发 布 证 书 、CRL 和 其 他 管理 与 状态 信息 
的 传输 机 制 。 由 于 每 个 要 求 都 有 不 同 的 服务 方式 , 因此 定义 了 HTTP、LDAP、FTP、X.500 
等 的 用 法 。 

G) 管理 协议 。 这 些 协议 支持 不 同 PKI 实体 交换 信息 (如 传递 注册 请 求 、 撤 销 状 态 
或 交叉 证 书 请 求 与 响应 )。 管理 协议 指定 实体 间 浮 动 的 信息 结构 , 还 指定 处 理 这 些 信息 所 
需 的 细节 。 管 理 协议 的 一 个 示例 是 请 求证 书 的 证 书 管理 协议 (Certificate Management 
Protocol, CMP). 
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(4) 策略 大 纲 。PKIX 在 RFC 2527 中 定义 了 证 书 策略 (Certificate Policies, CP) 和 
证 书 实务 声明 (Certificate Practice Statements, CPS) 的 大 纲 ， 其 中 定义 了 生成 证 书 策略 
之 类 的 文档 ， 确 定 对 于 特定 应 用 领域 选择 证 书 类 型 时 要 考虑 的 重点 。 

(5) 时 间 标 注 与 数据 证 书 服务 。 时 间 标 注 服务 是 由 所 谓 时 间 标 注 机 构 的 信任 第 三 方 
提供 的 ， 这 个 服务 的 目的 是 签名 消息 ， 保 证 其 在 特定 日 期 和 时 间 之 间 存 在 ， 帮 助 处 理 不 
可 抵赖 争端 。 数 据 证 书 服务 (DCS) 是 信任 第 三 方 服 务 ， 验 证 所 收 到 数据 的 正确 性 ， 类 
似 于 日 常生 活 中 的 公证 方 。 


(94 PKI 实例 


整个 系统 由 下 列子 系统 构成 : 

© 签发 系统 (Authority). 

e 密 钥 管理 中 心 系统 (KMC). 

e 申请 注册 系统 (RA). 

e 证 书 发 布 系统 (DA). 

e 在 线 证 书 状态 查询 系统 (OCSP)。 

由 各 子 系统 组 成 的 PKI/CA 认证 系统 的 结构 如 图 9-30 所 示 。 


D 
密 钥 管理 中 心 S 
B, O 

NB ara 理 终 KÈ i 

E g ma y : 
a KMC 服 务 器 \ = 

Y 签发 系统 
加 密 机 统 

aN 
E 
从 





系统 管理 业务 管理 业务 处 理 ”审计 终端 制作 终端 证 书 用 户 
终端 终端 终端 


(a) PKI 系 统 的 拓扑 结构 
图 9-30 PKICA 认证 系统 的 结构 
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(b) 一 个 PKI 系 统 实例 
图 9-30( 续 ) 


95 ”授权 管理 设施 一 一 PMI 


























9.5.1 PMI 的 定义 


ITUS&IETF 编写 的 相关 文档 说 明了 如 何 使 用 属性 证 书 实现 PMI PMI 即 权限 管理 基 
础 设施 或 授权 管理 基础 设施 ， 是 属性 证 书 、 属 性 权威 、 属 性 证 书库 等 部 件 的 集合 体 ， 用 
来 实现 权限 和 证 书 的 产生 、 管 理 、 存 储 、 分 发 和 撤销 等 功能 。 

AA (Attribute Authority, AA) 即 属性 权威 ， 是 用 来 生成 并 签发 属性 证 书 CAC) 的 
机 构 。 它 负责 管理 属性 证 书 的 整个 生命 周期 。 

AC (Attribute Certificate, AC) 即 属性 证 书 ， 对 于 一 个 实体 的 权限 绑 定 是 由 一 个 被 
数字 签名 了 的 数据 结构 来 提供 的 , 这 种 数据 结构 称 为 属性 证 书 , 由 属性 权威 签发 并 管理 ， 
它 包 括 一 个 展开 机 制 和 一 系列 特别 的 证 书 扩展 机 制 。 下 面 称 公 钥 证 书 为 PKC (Public Key 
Certificate). 
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X.509 定义 的 属性 证 书 框架 提供 了 一 个 构建 权限 管理 基础 设施 PMD 的 基础 ， 这 些 
结构 支持 访问 控制 等 应 用 。 属 性 证 书 的 使 用 (由 AA 签发 ) 提供 一 个 灵活 的 权限 管理 基 
础 设施 。 

一 个 实体 的 权限 约束 ， 应 由 属性 证 书 权威 〈 已 被 数字 签名 的 数据 结构 ) 或 由 公 钥 证 
书 权威 〈 包 含 已 明确 定义 权限 约束 扩展 的 ) 提供 。 

PMI 实际 提出 了 一 个 新 的 信息 保护 基础 设施 ， 能 够 与 PKI 和 目录 服务 紧密 地 集成 ， 
并 系统 地 建立 起 对 认可 用 户 的 特定 授权 ， 对 权限 管理 进行 了 系统 的 定义 和 描述 ， 完 整地 
提供 了 授权 服务 所 需 过 程 。 

建立 在 PKI 基础 上 的 PMI， 以 向 用 户 和 应 用 程序 提供 权限 管理 和 授权 服务 为 目标 ， 
主要 负责 向 业务 应 用 系统 提供 与 应 用 相关 的 授权 服务 管理 ， 提 供用 户 身份 到 应 用 授权 的 
映射 功能 ， 实 现 与 实际 应 用 处 理 模 式 相 对 应 的 、 与 具体 应 用 系统 开发 和 管理 无 关 的 访问 
控制 机 制 ， 极 大 地 简化 了 应 用 中 访问 控制 和 权限 管理 系统 的 开发 与 维护 ， 并 减少 了 管理 
成 本 和 复杂 性 。 

9.5.2 PMI 5 PKI 的 关系 

PKI 和 PMI 之 间 的 主要 区 别 在 于 : PMI 主要 进行 授权 管理 , 证 明 这 个 用 户 有 什么 权 
限 ,能 干什么 , 即 “ 你 能 做 什么 ”; PKI 主要 进行 身份 认证 , 证 明 用 户 身 份 , 即 “ 你 是 谁 ”。 
它们 之 间 的 关系 类 似 于 护照 和 签证 的 关系 。 护 照 是 身份 证 明 ， 唯 一 标识 个 人 ， 只 有 持 有 
护照 才能 证 明 你 是 一 个 合法 的 人 。 签 证 具有 属性 类 别 ， 持 有 哪 一 类 别 的 签证 才能 在 该 国 
家 进行 哪 一 类 的 活动 。 

PKI 和 PMI 两 者 实现 机 制 比较 如 图 9-31 和 图 9-32 所 示 。 
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图 9-31 PKI 组 织 结构 
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图 9-32 PMI 组 织 结构 
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于 在 X.509 中 定义 ， 一 个 实体 的 权限 约束 由 属性 证 书 权威 〈 已 被 数字 签名 的 数据 
结构 ) 或 由 公 钥 证 书 权威 〈 包 含 已 明确 定义 权限 约束 扩展 的 ) 提供 。 授 权 信息 可 以 放 在 
身份 证 书 扩展 项 (Subject Directory Attribute) 或 属性 证 书 中 ， 但 是 将 授权 信息 放 在 身份 
证 书 中 是 很 不 方便 的 。 首 先 ， 授 权 信息 和 公 钥 实体 的 生存 期 往往 不 同 ， 授 权 信息 放 在 身 
份 证 书 扩 展 项 中 导致 的 结果 是 缩短 了 身份 证 书 的 生存 期 ， 而 身份 证 书 的 申请 审核 签发 的 
代价 是 较 高 的 ， 其 次 ， 对 于 授权 信息 来 说 ， 身 份 证 书 的 签发 者 通常 不 具有 权威 性 ， 这 就 
导致 身份 证 书 的 签发 者 必须 使 用 额外 步骤 从 权威 源 获 得 信息 。 另 外 ， 由 于 授权 发 布 要 比 
身份 发 布 频 繁 得 多 ， 对 于 同一 个 实体 可 由 不 同 的 属性 权威 来 颁发 一 属性 证 书 ， 赋 予 不 同 
的 权限 ， 因 此 ， 一般 使 用 属性 证 书 来 容纳 授权 信息 ，PMI 可 由 了 PKI 建造 出 来 且 可 独立 地 
执行 管理 操作 。 但 是 两 者 之 间 还 存在 着 联系 ， 即 PKI 可 用 于 认证 属性 证 书 中 的 实体 和 所 
有 者 身份 ， 并 鉴别 属性 证 书签 发 权威 AA 的 身份 。 

PMI 和 PKI 有 很 多 相似 的 概念 ， 如 属性 证 书 与 公 钥 证 书 、 属 性 权威 与 认证 权威 等 。 
表 9-7 是 对 它们 的 比较 。 



































表 9-7 PMI 和 PKI 实 体 比较 





内 容 PKI 实体 PMI 实体 
证 书 PKC AEB AC 属性 证 书 
证 书 颁 发 者 证 书 机 构 属性 机 构 
证 书 接收 者 证 书 主体 证 书 持 有 者 
证 书 的 绑 定 主体 的 名 字 绑 定 到 公 钥 上 证 书 持 有 者 绑 定 到 一 个 或 多 个 特权 属性 上 
证 书 撤销 证 书 撤销 列表 (CRL) 属性 证 书 撤销 列表 (ACRL) 
信任 的 根 根 CA 或 信任 锚 权威 源 SOA 
子 机 构 子 CA AA 
验证 者 可 信 方 特权 验证 者 


公 角 证书 将 用 户 名 称 及 其 公 钥 进行 绑 定 ， 而 属性 证 书 则 将 用 户 名 称 与 一 个 或 更 多 的 
权威 属性 进行 绑 定 。 在 这 个 方面 ， 公 钥 证 书 可 被 看 做 是 特殊 的 属性 证 书 。 

数字 签名 公 钥 证 书 的 实体 被 称 为 CA， 签 名 属性 证 书 的 实体 被 称 为 AA。 

PKI 信任 源 有 时 被 称 为 根 CA, 而 PMI 信任 源 被 称 为 起 始 授 权 机 构 或 权威 源 (SOA )。 

CA 可 以 有 它们 信任 的 次 级 CA, 次 级 CA 可 以 代理 鉴别 和 认证 ，SOA 可 以 将 它们 的 
权利 授 给 次 级 AA。 如 果 用 户 需 要 废除 他 的 签字 密 铀 ， 则 CA 将 签发 证 书 撤销 列表 。 与 
之 类 似 ， 如 果 用 户 需 要 废除 授权 允许 CAthorization Permission), AA 将 签发 一 个 属性 证 
书 撤销 列表 (ACRL )。 


9.5.3 ”实现 PMI 的 机 制 
实现 PMI 有 多 种 机 制 ， 大 致 可 分 为 3 类 。 


1. 基于 Kerberos 的 机 制 
Kerberos 是 基于 对 称 密码 技术 的 ， 它 具有 对 称 算 法 的 一 些 优秀 性 能 ， 如 便于 软 硬 件 
实现 、 比 非 对 称 密码 算法 速度 更 快 。 但 是 ， 它 存在 不 便于 密 钥 管理 和 单 点 失败 的 问题 。 
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这 种 机 制 最 适合 用 于 大 量 的 实时 事务 处 理 环境 中 的 授权 管理 。 


2. 基于 策略 服务 器 概念 的 机 制 

这 种 机 制 中 有 一 个 中 心 的 服务 器 ， 用 来 创建 、 维 护 和 验证 身份 ， 组 合 角色 。 它 实行 
的 是 高 度 集中 的 控制 方案 , 便于 实行 单 点 管理 ,但 却 容易 形成 通信 的 “瓶颈 ”。 这 种 机 制 
最 适合 用 于 地 理 位 置 相 对 集中 的 实体 环境 ， 具 有 很 强 的 中 心 管理 控制 功能 。 


3. 基于 属性 证 书 的 机 制 

类 似 于 公 钥 证 书 的 概念 ， 但 不 包括 公 钥 。 这 种 机 制 是 完全 的 分 布 式 解决 方案 ， 具 有 
失败 拒绝 的 优点 ， 但 由 于 基于 公 钥 的 操作 (因为 AC 使 用 数字 签名 进行 认证 和 完整 性 校 
验 , 包含 的 属性 可 以 用 加 密 技 术 确保 机 密 性 ， 这 些 都 用 了 公 钥 技术 )， 性 能 不 高 。 这 种 机 
制 适用 于 支持 不 可 和 否认 服务 的 授权 管理 。 

基于 AC 的 机 制 可 以 直接 使 用 PKI.X.509 一 2000 利用 属性 证 书 定义 PMI， 以 及 如 何 
利用 PKI-CA 进行 对 用 户 访问 的 授权 管理 。 从 PMI 框架 定义 的 基础 看 ， 可 以 发 现 PMI 
与 PKI 必然 具有 很 多 相似 之 处 。 

总 之 ，PKI 处 理 的 是 公开 密 钥 证 书 ， 包 括 创 建 、 管 理 、 存 储 、 分 发 和 撤销 公开 密 钥 
证 书 的 一 整套 硬件 、 软 件 、 人 员 、 策 略 和 过 程 。 而 PMI 处 理 的 是 AC 的 管理 ， 与 PKI 类 
似 ， 它 包括 了 创建 、 管 理 、 存 储 、 分 发 和 撤销 AC 的 技术 和 过 程 。 


9.5.4 PMI 模型 


由 于 绝 大 多 数 的 访问 控制 应 用 都 能 抽象 成 一 般 的 权限 管理 模型 ， 包 括 3 个 实体 : 
对 象 、 权 限 声称 者 (Privilege Asserter) 和 权限 验证 者 (Privilege Verifier)。 因 此 ，PMI 
的 基本 模型 包括 3 个 实体 ， 目标、 权限 持 有 者 和 权限 验证 者 。PMI 基本 模型 如 图 9-33 
所 示 。 

目标 可 以 是 被 保护 的 资源 , 例如 ， 在 一 个 访问 控制 应 用 中 ， 受 保护 的 资源 就 是 目标 ; 
权限 持 有 者 就 是 持 有 特定 特权 并 为 某 个 使 用 决定 特权 的 实体 ， 权 限 验 证 者 对 访问 动作 进 
行 验证 和 决策 ， 是 制定 决策 的 实体 ， 是 决定 某 次 使 用 的 特权 是 否 充 分 的 实体 。 

权限 验证 者 根据 4 个 条 件 决定 访问 “通过 /失败 ” @D 权 限 声明 者 的 权限 ; @ 适 当 的 
权限 策略 ，@ 当 前 环境 变量 (如 果 有 ); @ 对 象 方法 的 敏感 度 ( 如 果 有 )。 

其 中 ， 权 限 策略 说 明了 对 于 给 定 敏感 度 的 对 象 方法 或 权限 的 用 法 和 内 容 ， 用 户 持 有 
的 权限 需要 满足 什么 条 件 和 达到 什么 要 求 。 权 限 策 略 准确 定义 了 什么 时 候 权 限 验证 者 应 
该 确定 一 套 已 存在 的 权限 是 “充分 的 ”， 以 便 许 可 〈 对 要 求 的 对 象 、 资 源 、 应 用 等 ) 权限 
持 有 者 访问 。 为 了 保证 系统 的 安全 性 ， 权 限 策略 需要 完整 性 和 可 靠 性 保护 ， 防 止 他 人 通 
过 修改 策略 而 攻击 系统 。 

控制 模型 如 图 9-34 所 示 ， 它 说 明了 如 何 控制 对 敏感 目标 程序 的 接 入 。 该 模型 有 5 个 
基本 组 件 : 权限 持 有 者 、 权 限 验证 者 、 目 标 程序 、 权 限 策略 和 环境 变量 。 其 中 ， 权 限 验 
证 者 与 PMI 基本 模型 中 的 组 件 解释 相同 ; 权限 持 有 者 可 以 是 由 公 钥 证 书 或 档案 资料 所 定 
义 的 实体 ， 目 标 程序 含有 敏感 信息 。 
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SOA 
分 配 权限 信任 
权限 持 有 者 | 权限 声明 -| 权限 验证 者 oo 
图 9-33 PMI 基本 模型 图 9-34 ”控制 模型 
该 模型 描述 的 方法 ， 使 得 特权 验证 者 能 够 通过 特权 持 有 者 与 特权 策略 保持 一 致 来 达 
到 对 环境 变量 的 接 入 控制 。 
特权 和 敏感 性 可 以 有 多 个 参数 值 。 


委托 模型 (如 图 9-35 所 示 )， 在 有 些 环境 下 可 能 会 需要 委托 特权 ， 但 是 ， 这 种 框架 
是 可 选项 ， 并 不 是 所 有 的 环境 都 必需 的 。 这 种 模型 有 4 个 组 件 : 权限 验证 者 、 终 端 实体 、 
SOA 和 普通 AA. 在 使 用 委托 的 环境 下 ，SOA 成 为 证 书 的 最 初 颁发 者 ，SOA 指定 一 些 特 
权 持 有 者 作为 AA 并 向 其 分 配 特权 由 AA 进一步 向 其 他 实体 授权 特权 。 

角色 模型 (如 图 9-36 所 示 ) 为 角色 提供 了 一 种 间接 的 向 个 体 分 配 特权 的 方式 。 个 体 
通过 证 书 中 的 角色 属性 分 配 到 一 个 或 多 个 角色 。AA 可 以 定义 任意 数目 的 角色 ;角色 本 
身 和 角色 成 员 也 可 以 由 不 同 的 AA 分 别 定义 和 管理 ， 角 色 的 关系 类 似 于 其 他 特权 ， 是 可 
以 委托 的 ， 可 以 向 角色 和 角色 的 关系 分 配 任何 合适 的 生命 周期 。 


SOA SOA 
分 配 权限 二 信任 
分 配 权限 jam 角色 













































































wana [-- SEE 权限 验证 者 
终端 实体 权限 验证 者 
a oA 角色 分 配 持 有 者 
委托 授权 pg PRR 角色 | 
图 9-35 ”委托 模型 图 9-36 ”角色 模型 


9.5.5 ”基于 PM 建立 安全 应 用 


PKI /PMI 和 应 用 的 逻辑 结构 如 图 9-37 所 示 。 

图 9-37 所 示 各 部 分 说 明 如 下 。 

a) 访问 者 、 目 标 : 访问 者 是 一 个 实体 (该 实体 可 能 是 人 ， 也 可 能 是 其 他 计算 机 实 
体 )， 它 试图 访问 系统 内 的 其 他 实体 (目标 )。 

(2) 策略 : 授权 策略 展示 了 一 个 机 构 在 信息 安全 和 授权 方面 的 顶层 控制 、 授 权 遵 循 
的 原则 和 具体 的 授权 信息 。 在 一 个 机 构 的 PMI 应 用 中 ， 策略 应 当 包 括 一 个 机 构 如 何 将 它 
的 人 员 和 数据 进行 分 类 组 织 ， 这 种 组 织 方式 必须 考虑 到 具体 应 用 的 实际 运行 环境 ， 如 数 
据 的 敏感 性 、 人 员 权 限 的 明确 划分 及 必须 和 相应 人 员 层 次 相 匹配 的 管理 层次 等 因素 。 所 
以 ， 策 略 的 制定 是 需要 根据 具体 的 应 用 量 身 定做 的 。 

策略 包含 着 应 用 系统 中 的 所 有 用 户 和 资源 信息 及 用 户 和 信息 的 组 织 管理 方式 、 用 户 
和 资源 之 间 的 权限 关系 、 保 证 安全 的 管理 授权 约束 、 保 证 系统 安全 的 其 他 约束 。 在 PMI 
中 主要 使 用 基于 角色 的 访问 控制 (Role-Based Access Control, RBAC). 
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| 应 用 系统 ”应 用 策略 支撑 框架 | 属性 证 书 (AC) 符 发 系 统 


和 


图 9-37 PKI/PMI 和 应 用 的 逻辑 结构 


(3) AC: 属性 证 书 CAC) 是 PMI 的 基本 概念 ， 它 是 权威 签名 的 数据 结构 ， 将 权限 
和 实体 信息 绑 定 在 一 起 。 属 性 证 书 中 包含 了 用 户 在 某 个 具体 的 应 用 系统 中 的 角色 信息 ， 
而 该 角色 具有 什么 样 的 权限 是 在 策略 中 指定 的 。 

(4) AA: 属性 证 书 的 签发 者 被 称 为 属性 权威 AA， 属 性 权威 AA 的 根 称 为 SOA. 

(5) ARA: 属性 证 书 的 注册 申请 机 构 称 为 属性 注册 权威 ARA. 

(6) LDAP: 用 来 存储 签发 的 属性 证 书 和 属性 证 书 撤销 列表 。 

(7) 策略 实施 :策略 实施 点 (Policy Enforcement Points, PEPs) 也 称 为 PMI 激活 的 
应 用 ， 对 每 一 个 具体 的 应 用 可 能 是 不 同 的 ， 是 指 已 经 通过 接口 插件 或 代理 所 修改 过 的 应 
用 或 服务 ， 这 种 应 用 或 服务 被 用 来 实施 一 个 应 用 内 部 的 策略 决策 ， 介 于 访问 者 和 目标 之 
间 ， 当 访问 者 申请 访问 时 ， 策 略 实施 点 向 授权 策略 服务 器 申请 授权 ， 并 根据 授权 决策 的 
结果 实施 决策 ， 即 对 目标 执行 访问 或 拒绝 访问 。 在 具体 的 应 用 中 ， 策 略 实施 点 可 能 是 应 
用 程序 内 部 中 进行 访问 控制 的 一 段 代 码 ， 也 可 能 是 安全 的 应 用 服务 器 (如 在 Web 服务 器 
上 增加 一 个 访问 控制 插件 )， 或 者 是 进行 访问 控制 的 安全 应 用 网 关 。 

(8) 策略 决策 ， 策略 决策 点 〈Policy Decision Point, PDP) 也 称 为 授权 策略 服务 器 ， 
它 接收 和 评价 授权 请 求 ， 根 据 具体 策略 做 出 不 同 的 决策 。 它 一 般 不 随 具 体 的 应 用 变化 ， 
是 一 个 通用 的 处 理 判断 逻辑 。 当 接收 到 一 个 授权 请 求 时 ， 根 据 授权 策略 、 访 问 者 的 安全 
属性 及 当前 条 件 进行 决策 ， 并 将 决策 结果 返回 给 应 用 。 对 不 同 应 用 的 支持 是 通过 解析 不 
同 的 定制 策略 来 完成 的 。 

在 实施 的 过 程 中 ， 只 需 定制 策略 实施 部 分 并 定义 相关 策略 。 


习题 


一 、 选 择 题 
1. 数字 证 书 将 用 户 与 其 相 联系 。 
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A. 私 钥 B. 24H C. 护照 D. 驾照 
2. 用 户 的 不 能 出 现在 数字 证 书 中 。 

A. AA B. 私 钥 C. 组 织 名 D. 人 名 
3. 可 以 签发 数字 证 书 。 

A. CA B. 政府 C. 小 店主 D. 银行 
4. 标准 定义 数字 证 书 结构 。 

A. X.500 B. TCP/IP C. ASN.1 D. X.509 
5. RA 签发 数字 证 书 。 

A. 可 以 B. 不 必 C. 必须 D. 不 能 
6. CA 使 用 签名 数字 证 书 。 

A. 用 户 的 公 钥 B. 用 户 的 私 钥 C. 自己 的 公 钥 D. 自己 的 私 钥 
7. 要 解决 信任 问题 ， 需 使 用 A 

A. 24H B. 自 签名 证 书 C. 数字 证 书 D. 数字 签名 
8. CRL 是 的 。 

A. 联机 B. 联机 和 脱 机 C. 脱 机 D. 未 定义 
9. OCSP 是 的 。 

A. 联机 B. 联机 和 脱 机 C. 脱 机 D. 未 定义 
10. 最 高 权威 的 CA 称 为 À 

A. RCA B. RA C. SOA D. ARA 
二 、 思 考题 
1. 数字 证 书 的 典型 内 容 是 什么 ? 
2. CA 与 RA 的 作用 是 什么 ? 
3. 简 述 交叉 证 书 的 作用 。 
4. 简 述 撤销 证 书 的 原因 。 
5. 列 出 创建 数字 证 书 的 4 个 关键 步骤 。 
6. CA 分 层 后 面 的 思想 是 什么 ? 
7. 描述 保护 数字 证 书 的 机 制 。 
8. 为 什么 需要 自 签名 证 书 ? 
9. CRL, OCSP. SCVP 的 主要 区 别 是 什么 ? 


10. 请 看 这 样 一 种 情况 : 

攻击 者 4 创建 了 一 个 证 书 ， 放 置 一 个 真实 的 组 织 名 〈 假 设 为 银行 B) 及 攻击 者 自己 
的 公 钥 。 你 在 不 知道 是 攻击 者 在 发 送 的 情形 下 ， 得 到 了 该 证 书 ， 误 认为 该 证 书 来 自 银行 
B8。 请 问 如 何 防止 该 问题 的 产生 ? 
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第 10 Fe 
网 络 加 密 与 密 钥 管理 


网 络 加 密 是 保护 网 络 信息 安全 的 重要 手段 。 网 络 环境 下 的 密 钥 管理 是 一 项 复杂 而 重 
要 的 技术 。 本 章 首先 介绍 有 关 网 络 加 密 的 方式 和 硬件 加 密 、 软件 加 密 的 有 关 问 题 及 实现 。 
第 8 章 曾 讨论 了 密 钥 建立 协议 ， 本 章 将 介绍 密 钥 建立 的 通信 模型 ， 密 钥 分 类 、 生 成 、 长 
度 与 安全 人 性、 传递、 注入、 分配、 证实、 保护、 存储 、 备 份 、 恢 复 、 汇 漏 、 过 期 、 吊 销 、 
销毁 、 控 制 、 托 管 以 及 密 钥 管理 自动 化 等 有 关内 容 。 


101 网 络 加 密 的 方式 及 实现 











网 络 数据 加 密 是 解决 通信 网 中 信息 安全 的 有 效 方法 。 虽 然 由 于 成 本 、 技 术 和 管理 上 
的 复杂 性 ， 网 络 数据 加 密 技术 目前 还 未 在 网 中 广泛 应 用 ， 但 从 今后 的 发 展 来 看 ， 这 是 一 
个 可 取 的 途径 。 有 关 密码 算法 在 密码 学 课程 中 已 经 全 面 介绍 ， 这 里 主要 讨论 网 络 加 密 的 
方式 。 网 络 加 密 一 般 可 以 在 通信 的 3 个 层次 上 来 实现 ， 相 应 的 加 密 方式 有 链 路 加 密 、 节 
点 加 密 和 端 到 端 加 密 。 下 面 分 别 对 其 加 以 讨论 。 


10.1.1 RME 


链 路 加 密 对 网 络 中 两 个 相 邻 节点 之 间 传 输 的 数据 进行 加 密 保护 ， 如 图 10-1 所 示 。 在 
受 保护 数据 所 选 定 的 路 由 上 ， 任 意 一 对 节点 和 相应 的 调制 解 调 器 之 间 都 安装 有 相同 的 密 
码 机 ， 并 配置 相应 的 密 钥 ， 不 同 节点 对 之 间 的 密码 机 和 密 钥 不 一 定 相同 。 
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图 10-1 链 路 加 密 


对 于 在 两 个 网 络 节点 间 的 某 一 次 通信 和 链 路 ， 链 路 加 密 能 为 网 上 传输 的 数据 提供 安全 
保证 。 对 于 链 路 加 密 (又 称 在 线 加 密 ) 来 说 ， 所 有 消息 都 在 传输 之 前 被 加 密 。 每 个 节点 
首先 对 接收 到 的 消息 进行 解密 ， 然 后 再 使 用 下 一 个 链 路 的 密 钥 对 消息 进行 加 密 ， 并 进行 
传输 。 在 到 达 目 的 地 之 前 ， 一 条 消息 可 能 要 经 过 许多 通信 链 路 的 传输 。 

尽管 链 路 加 密 在 计算 机 网 络 环境 中 使 用 得 相当 普遍 ， 但 它 并 非 没 有 问题 。 链 路 加 密 
通常 用 在 点 对 点 的 同步 或 异步 线路 上 ， 它 要 求 先 对 在 链 路 两 端的 加 密 设 备 进行 同步 ， 然 
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后 使 用 一 种 链 模式 对 链 路 上 传输 的 数据 进行 加 密 。 这 就 给 网 络 的 性 能 和 可 管理 性 带 来 了 
副作用 。 

在 线路 和 信号 经 常 不 通 的 海外 或 卫星 网 络 中 ， 链 路 上 的 加 密 设备 需要 频繁 地 进行 
步 ， 带 来 的 后 果 是 数据 丢失 或 重 传 。 另 一 方面 ， 即 使 仅 一 小 部 分 数据 需要 进行 加 密 ， 
会 使 得 所 有 传输 数据 被 加 密 。 

链 路 加 密 仅 在 通信 链 路 上 提供 安全 性 ， 在 一 个 网 络 节点 ， 消 息 以 明文 形式 存在 。 因 
此 ， 所 有 节点 在 物理 上 必须 是 安全 的 ， 否 则 就 会 泄漏 明文 内 容 。 然 而 ， 要 保证 每 个 节点 
的 安全 性 需要 较 高 的 费用 。 

此 外 ， 在 对 称 〈 单 钥 ) 加 密 算 法 中 ， 用 于 解密 消息 的 密 钥 与 用 于 加 密 的 密 钥 是 相同 
的 ， 该 密 钥 必 须 秘密 保存 并 定期 更 换 。 这 样 ， 在 链 路 加 密 系 统 中 ， 密 钥 分 配 就 成 了 一 个 
问题 ， 因 为 每 个 节点 必须 存储 与 其 相连 接 的 所 有 链 路 的 加 密 密 钥 ， 这 就 需要 对 密 钥 进行 
物理 传送 或 者 建立 专用 网 络 设施 。 网 络 节点 地 理 分 布 的 广阔 性 使 得 这 一 过 程 变 得 复杂 ， 
同时 增加 了 密 钥 分 配 的 费用 。 


10.1.2 ”节点 加 密 


尽管 节点 加 密 能 给 网 络 数据 提供 较 高 的 安全 性 ， 但 它 在 操作 方式 上 与 链 路 加 密 是 类 
似 的 : 两 者 均 在 通信 链 路 上 为 传输 的 消息 提供 安全 性 ; 都 在 中 间 节 点 先 对 消息 进行 解密 ， 
然后 进行 加 密 。 因 为 要 对 所 有 传输 的 数据 进行 加 密 ， 所 以 加 密 过 程 对 用 户 是 透明 的 。 

然而 它 与 链 路 加 密 不 同 ， 节 点 加 密 不 允许 消息 在 网 络 节点 以 明文 形式 存在 。 它 先 把 
收 到 的 消息 进行 解密 ， 然 后 采用 另 一 个 不 同 的 密 钥 进行 加 密 。 这 一 过 程 在 节点 上 的 一 个 
安全 模块 中 进行 。 

节点 加 密 要 求 报头 和 路 由 信息 以 明文 形式 传输 ， 以 便 中 间 节 点 能 得 到 如 何 处 理 消息 
的 信息 。 因 此 这 种 方法 对 于 防止 攻击 者 分 析 通 信 业 务 是 脆弱 的 。 


10.1.3” 端 到 端 加 密 


如 图 10-2 所 示 ， 端 到 端 加 密 是 对 一 对 用 户 之 间 的 数据 连续 地 提供 保护 。 它 要 求 各 对 
用 户 《 而 不 是 各 对 节点 ) 采用 相同 的 密码 算法 和 密 钥 。 对 于 传送 通路 上 的 各 中 间 节 点 ， 
数据 是 保密 的 。 
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图 10-2” 端 到 端 加 密 


链 路 加 密 虽 然 能 防止 搭 线 窍 听 ， 但 不 能 防止 在 消息 交换 过 程 中 由 于 错误 路 由 所 造成 
的 泄密 ， 如 图 10-3 所 示 。 在 链 路 加 密 方式 下 ， 由 网 络 提供 密码 功能 ， 故 对 用 户 来 说 是 透 
明 的 。 在 端 到 端 加 密 方 式 下 ， 如 果 加 密 功 能 由 网 络 自动 提供 ， 则 对 用 户 来 说 也 是 透明 的 ; 
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如 果 加 密 功能 由 用 户 自己 选 定 ， 则 对 用 户 来 说 就 不 是 透明 的 。 采 用 端 到 端 加 密 方式 时 ， 
只 在 需 用 加 密 保护 数据 的 用 户 之 间 备 有 密码 设备 ， 因 而 可 以 大 大 减少 整个 网 中 使 用 密码 
设备 的 数量 。 
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B 10-3 链 路 加 密 的 弱点 


端 到 端 加 密 人 允许 数据 在 从 源 点 到 终点 的 传输 过 程 中 始终 以 密 文 形式 存在 。 采 用 端 到 
端 加 密 (又 称 脱 线 加 密 或 包 加 密 )， 消 息 在 被 传输 时 到 达 终 点 之 前 不 进行 解密 。 由 于 消息 
在 整个 传输 过 程 中 均 受 到 保护 ， 所 以 即使 有 节点 被 损坏 也 不 会 使 消息 泄漏。 

端 到 端 加 密 系统 的 开销 小 一 些 ， 并 且 与 链 路 加 密 和 节点 加 密 相 比 更 可 靠 ， 更 容易 设 
计 、 实 现 和 维护 。 端 到 端 加 密 还 避免 了 其 他 加 密 系 统 所 固有 的 同步 问题 。 因 为 每 个 报 文 
包 均 是 独立 被 加 密 的 ,所 以 一 个 报 文 包 所 发 生 的 传输 错误 不 会 影响 后 续 的 报 文 包 。 此 外 ， 
从 用 户 对 安全 需求 的 直觉 上 讲 ， 端 到 端 加 密 更 自然 些 。 单 个 用 户 可 能 会 选用 这 种 加 密 方 
法 ， 以 便 不 影响 网 络 上 的 其 他 用 户 。 此 方法 只 需要 源 和 目的 节点 是 保密 的 即 可 。 

端 到 端 加 密 系统 通常 不 允许 对 消息 的 目的 地 址 进行 加 密 ， 这 是 因为 每 个 消息 所 经 过 
的 节点 都 要 用 此 地 址 来 确定 如 何 传输 消息 。 由 于 这 种 加 密 方法 不 能 掩盖 被 传输 消息 的 源 
点 与 终点 ， 因 此 它 对 于 防止 攻击 者 分 析 通 信 业 务 是 脆弱 的 。 


10.1.4 REWE 


采用 端 到 端 加 密 方式 只 能 对 报 文 加 密 ， 报 头 则 以 明文 形式 传送 ， 容 易 受 业务 流量 儿 
析 攻 击 。 为 了 保护 报头 中 的 敏感 信息 , 可 以 用 图 10-4 所 示 的 端 到 端 和 链 路 混合 加 密 方式 。 
在 此 方式 下 ， 报 文 将 被 两 次 加 密 ， 报 头 则 只 由 链 路 方式 进行 加 密 。 

在 明文 和 密 文 混 传 的 网 络 中 ， 可 在 报头 的 某 个 特定 位 上 指示 报 文 是 否 被 加 密 ， 也 可 
按 线 路 协议 由 专用 控制 信息 实现 自动 起 止 加 密 操作 。 

从 成 本 、 灵 活性 和 安全 性 来 看 ， 一 般 端 到 端 加 密 方式 较 有 吸引 力 。 对 某 些 远程 处 理 
机 构 ， 链 路 加 密 可 能 更 为 合适 。 如 当 链 路 中 节点 数 很 少时 ， 链 路 加 密 操 作对 现 有 程序 是 
透明 的 ， 无 须 操作 员 干 预 。 目 前 大 多 数 链 路 加 密 设 备 是 以 线路 的 工作 速度 进行 工作 的 ， 
因而 不 会 引起 传输 性 能 的 显著 下 降 。 另 外 ， 有 些 远 端 设备 的 设计 或 管理 方法 不 支持 端 到 
端 加 密 方式 。 端 到 端 加 密 的 目的 是 对 从 数据 的 源 节点 到 目的 节点 的 整个 通路 上 所 传 的 数 
据 进行 保护 。 网 络 中 所 选用 的 数据 加 密 设 备 要 与 数据 终端 设备 及 数据 电路 端 接 设备 的 接 
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口 一 致 ， 并 且 要 遵守 国家 和 国际 标准 规定 。 

当前 ， 信 息 技 术 及 其 应 用 的 发 展 领先 于 安全 技术 ， 因 此 应 大 力 发 展 安全 技术 以 适应 
信息 技术 发 展 的 需要 。 安 全 技术 和 它 所 带 来 的 巨大 效益 远 未 被 人 们 所 认识 ， 但 对 这 个 问 
题 的 认识 绝 不 能 太 述 钝 。 信 息 的 安全 设计 是 个 较 复杂 的 问题 ， 应 当 统 筹 考虑 ， 协 调 各 种 
要 求 ， 并 力求 降低 成 本 。 
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图 10-4 ”混合 加 密 方式 


jo2 ”硬件 、 软 件 加 密 及 有 关 问 题 





10.2.1 ”硬件 加 密 的 优点 


a) 加 密 速度 快 。 长 期 以 来 一 直 采 用 硬件 实现 加 解密 ， 主 要 原因 是 其 加 密 速 度 快 。 
许多 算法 ,例如 DES 和 RSA， 大 都 是 位 串 操作 ， 而 不 是 计算 机 中 的 标准 操作 ， 它 们 在 
微 处 理 器 上 的 效率 很 低 ， 故 采用 专用 加 密 硬 件 实现 在 速度 上 具有 优势 。 虽 然 有 些 算法 在 
设计 时 考虑 到 用 软件 来 实现 ， 但 算法 安全 性 总 是 第 一 位 的 。 另 外 ， 加 密 是 一 种 强化 的 精 
细 计 算 任务 ， 改 变 一 种 微 处 理 器 芯片 就 可 能 使 加 解密 的 速度 显著 提高 。 

(2) 硬件 安全 性 好 。 软 件 实现 不 可 能 有 物理 保护 ， 攻 击 者 可 能 有 各 种 调试 软件 工具 ， 
可 毫 无 觉察 地 偷偷 修改 算法 。 硬 件 可 以 封装 ， 可 以 防 窜 扰 ， 因 而 难以 入 侵 修 改 。ASIC 外 
面 可 以 加 上 化 学 防护 罩 ， 任 何 试图 解剖 芯片 的 行动 都 会 破坏 其 内 部 逻辑 ， 导 致 存储 的 数 
据 自 行 擦 除 。 例 如 ， 美 国 的 Clipper 和 Capstone 芯片 均 有 防 窜 扰 设计 ， 且 可 以 设计 得 使 
外 部 攻击 者 无 法 读 出 内 部 密 钥 。IBM 的 密 钥 管理 系统 中 的 硬件 模块 也 有 防 窜 扰 设计 。 

硬件 实现 可 进行 电磁 屏蔽 设计 ， 即 TEMPEST 设计 ， 这 样 可 防止 电磁 辐射 泄漏 
(Electonic Radiation )。 当 然 必 须 选 用 可 信赖 厂家 的 产品 。 

(3) 硬件 易于 安装 。 多 数 硬 件 的 应 用 独立 于 主机 。 如 对 于 电话 、FAX、 数 据 线路 等 ， 
在 相应 终端 加 入 一 个 专用 加 密 硬件 ， 要 比 用 微 处 理 器 实现 加 密 更 方 使 (但 是 多 媒体 的 出 
现 使 这 一 情况 发 生 了 改变 )， 在 计算 机 环境 下 ， 采 用 硬件 也 优 于 软件 (如 PCMCIA F), 
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并 能 使 加 密 透明 且 方 便 用 户 。 若 以 软件 实现 需 在 操作 系统 的 深层 安装 ， 这 不 容易 实现 ; 
在 计算 机 和 Modem 之 间 插 入 硬件 ， 这 对 于 计算 机 新 手 并 非 难事 。 


10.2.2 ”硬件 种 类 


(1) 自 配套 加 密 模块 《含有 口令 证 实 、 密 钥 管理 等 )。 

(2) 通信 用 加 密 盒 。 例 如 ，T-1 加 密 盒 特别 适用 于 FAX， 多 采用 异步 传输 模式 ， 
有 用 同步 传送 模式 的 。 发 展 趋势 是 高 速率 和 适应 多 种 应 用 。 
G) PC 插件 板 。 用 于 加 密 写 入 硬盘 的 所 有 数据 ， 可 以 有 选择 地 对 送 给 软盘 和 出 口 
的 数据 加 密 。 由 于 无 防 辐射 和 防 物 理 窜 扰 设计 ， 故 需要 采取 保护 措施 ， 使 计算 机 不 受 影 
响 。 由 于 PC 插件 板 种 类 繁多 ， 且 有 些 兼 容 性 不 是 太 好 ， 在 选 购 时 要 充分 考虑 硬件 类 型 、 
操作 系统 、 应 用 软件 、 网 络 特点 等 。 与 加 密 盒 等 产品 一 样 ，PC 插件 板 都 有 相应 的 安全 密 
HEH 

10.2.3 ”软件 加 密 


任何 加 密 算法 都 可 用 软件 实现 。 软 件 实现 的 缺点 是 速度 慢 ， 占 用 一 些 计 算 和 存储 资 
源 ， 且 易 被 移植 。 软 件 实现 的 优点 是 灵活 、 轻 便 、 可 安装 于 多 种 机 器 上 ， 且 可 将 几 个 软 
件 组 合成 一 个 系统 ， 如 与 通信 程序 、 字 处 理 程序 等 相 结合 。 

在 所 有 主要 的 操作 系统 上 都 有 加 密 软 件 可 利用 ， 如 Macintosh System 7，Windows 
NT, UNIX, Netscape 等 。 加 密 软件 可 用 于 加 密 单个 文件 。 采 用 加 密 软件 时 密 钥 管 理 的 
安全 性 极为 重要 。 不 要 在 硬盘 上 存放 密 钥 ， 加 密 后 须 将 密 钥 和 原来 未 加 密 的 文件 删除 ， 
这 一 重要 措施 常常 被 忽视 。 

软件 加 密实 现 的 最 大 问题 还 是 安全 性 。 如 在 多 任务 环境 下 ， 文 件 进入 系统 后 是 否 及 
时 被 加 密 ? 存 于 系统 中 的 未 加 密 密 铀 ， 可 能 是 几 分 钟 ， 也 可 能 是 几 个 月 或 更 长 ， 当 攻击 
者 出 现时 ， 文 件 可 能 还 是 明文 状态 ， 密 钥 也 可 能 仍 以 明文 形式 存在 硬盘 某 处 ， 而 被 其 用 
细 齿 梳 (Fine Tooth Comb) 检 出 。 可 以 将 加 密 操 作 设 置 为 高 优先 级 来 降低 这 种 风险 ， 但 
即便 如 此 仍 有 风险 。 


10.2.4 ”存储 数据 加 密 的 特点 


存储 数据 的 加 密 与 通信 情况 加 密 有 很 大 不 同 ， 如 破译 其 加 密 算 法 所 需 的 密码 分 析 时 
间 仅 由 数据 的 价值 限定 ;数据 可 能 在 另外 的 盘 上 、 另 一 个 计算 机 上 或 在 纸 上 以 明文 形式 
出 现 ; 密码 分 析 者 有 更 多 的 机 会 实施 已 知 明文 破译 ;在 数据 库 应 用 中 ， 一 串 数 据 可 能 小 
于 加 密 分 组 长 度 ， 而 造成 密 文大 于 明文 (数据 扩展 ); 输入 输出 速度 要 求实 现 快速 加 解密 
(因而 可 能 用 硬件 加 密 器 件 来 实现 )， 密 钥 管 理 更 为 复杂 ， 因 为 不 同 的 人 要 访问 不 同 的 文 
件 ， 或 同一 文件 的 不 同 部 分 等 。 

加 密 后 文件 的 检索 。 对 未 设置 记录 项 和 文件 结构 的 文本 文件 ， 加 密 后 易于 检索 和 解 
密 恢 复 其 明文 :但 对 加 密 的 数据 库 文件 则 难以 检索 ， 要 将 整个 库 文件 解密 后 才能 访问 一 
个 记录 ， 很 不 方便 。 采用 各 记录 独立 地 进行 加 密 时 ， 对 分 组 重 放 (Block Replay) 一 类 攻 
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击 又 较 敏感 。 


10.2.5 ”文件 删除 


计算 机 上 删除 文件 ， 常 常 是 删 去 了 文件 名 的 第 1 个 字母 而 使 其 不 能 检索 ， 但 文件 本 
身 仍 存在 原 处 , 直到 新 的 数据 存 入 将 其 覆盖 为 止 , 在 此 之 前 用 文件 恢复 软件 就 可 以 检 出 。 
因此 ， 真正 从 存储 器 中 消除 所 存储 的 内 容 需 用 物理 上 的 重复 写 入 方法 。 美 国 NCSC 
(National Computer Security Center) 建议 ， 要 以 一 定格 式 的 随机 数 重 写 至 少 3 次 。 如 第 1 
次 随机 数 为 00110101…: 第 2 次 随机 数 为 11001010…， 是 对 第 1 次 随机 数 取 补 ， 第 3 
次 随机 数 为 10010111…。 原 数据 机 密级 越 高 ， 重 写 次 数 则 应 越 多 。 很 多 商用 软件 采用 3 
KES, 第 1 次 用 全 1, 第 2 次 用 全 0, 第 3 次 用 1 和 0 相间 数字 。Schneier 建议 为 7 次 ， 
第 1 次 用 全 1, 第 2 次 用 全 0, 后 5 次 用 安全 的 随机 数 。 即 使 如 此 ，NCSC 用 电子 隧道 显 
微 镜 观测 ， 仍 然 不 能 完全 擦 掉 原 数 据 。 

更 成 问题 的 是 计算 机 中 广泛 使 用 虚拟 存储 ， 它 可 以 在 任何 时 候 进行 读 、 写 ， 即 使 不 
存储 数据 ， 当 敏感 文件 上 机 操作 后 ， 也 无 从 知道 它 是 否 已 从 硬盘 中 移出 。 偶 尔 将 硬盘 中 
所 有 未 用 的 空间 进行 冲 写 (overwrite)， 并 将 文件 与 文件 后 面 未 用 块 组 部 分 进行 交换 是 有 
意义 的 。 


03 ” 密 钥 管理 基本 概念 








一 个 系统 中 各 实体 之 间 通 过 共享 的 一 些 公 用 数据 来 实现 密码 技术 ， 这 些 数据 可 能 包 
括 公开 的 或 秘密 的 密 钥 、 初 始 化 数据 及 一 些 附 加 的 非 秘 密 参 数 。 系 统 用 户 首先 要 进行 初 
始 化 工作 。 

密 钥 是 加 密 算 法 中 的 可 变 部 分 。 对 于 采用 密码 技术 保护 的 现代 信息 系统 ， 其 安全 性 
取决 于 对 密 钥 的 保护 ， 而 不 是 对 算法 或 硬件 本 身 的 保护 。 密 码 体制 可 以 公开 ， 密 码 设备 
可 能 丢失 ， 同 一 型 号 的 密码 机 仍 可 继续 使 用 。 然 而 一 旦 密 钥 丢失 或 出 错 ， 不 但 合法 用 户 
不 能 提取 信息 ， 而 且 可 能 使 非法 用 户 窃取 信息 。 因 此 ， 产 生 密 钥 算法 的 强度 、 密 钥 长 度 
及 密 钥 的 保密 和 安全 管理 对 于 保证 数据 系统 的 安全 极为 重要 。 


10.3.1 ZAE 


密 钥 管理 是 处 理 密 钥 从 产生 到 最 终 销 毁 的 整个 过 程 中 的 有 关 问 题 ， 包 括 系统 的 初始 
化 及 密 钥 的 产生 、 存 储 、 备 份 /恢复 、 装 入 、 分 配 、 保 护 、 更 新 、 控 制 、 丢 失 、 撤 销 和 销 
毁 等 内 容 。 设 计 安 全 的 密码 算法 和 协议 并 不 容易 ， 而 管理 密 钥 则 更 难 。 密 钥 是 保密 系统 
中 最 脆弱 的 环节 ， 其 中 密 钥 分 配 和 存储 可 能 最 棘手 。 在 过 去 ， 都 是 通过 手工 作业 来 处 理 
点 到 点 通信 中 的 问题 的 。 随 着 通信 技术 的 发 展 和 多 用 户 保密 通信 网 的 出 现 ， 在 一 个 具有 
众多 交换 节点 和 服务 器 、 工 作 站 及 大 量 用 户 的 大 型 网 络 中 ， 密 钥 管理 工作 极其 复杂 ， 这 
就 要 求 密 钥 管理 系统 逐步 实现 自动 化 。 

在 一 个 大 型 通信 网 络 中 ， 数 据 将 在 多 个 终端 和 主机 之 间 进 行 传递 。 端 到 端 加 密 的 目 
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的 在 于 使 无 关 用 户 不 能 读 取 别 人 的 信息 ， 但 这 需要 大 量 的 密 钥 而 使 密 钥 管理 复杂 化 。 同 
样 ， 在 主机 系统 中 ， 许 多 用 户 向 同一 主机 存 取信 息 ， 也 要 求 彼此 之 间 在 严格 的 控制 之 下 
相互 隔离 。 因 此 ， 密 钥 管理 系统 应 当 能 保证 在 多 用 户 、 多 主机 和 多 终端 情况 下 的 安全 性 
和 有 效 性 。 密 钥 管理 不 仅 影响 系统 的 安全 性 ， 而 且 涉及 系统 的 可 靠 性 、 有 效 性 和 经 济 性 。 
类 似 于 信息 系统 的 安全 性 ， 密 钥 管 理 也 有 物理 上 、 人 事 上 、 规 程 上 和 技术 上 的 内 容 ， 本 
节 主 要 从 技术 上 讨论 密 钥 管理 的 有 关 问 题 。 

在 分 布 式 系统 中 ， 人 们 已 经 设计 了 用 于 自动 密 钥 分 配 业 务 的 几 个 方案 。 其 中 某 些 方 
案 已 被 成 功 地 使 用 ， 如 Kerberos 和 ANSI X.9.17 方案 采用 了 DES 技术 ， 而 ISO-CCITT 
X.509 目录 认证 方案 主要 依赖 于 公 钥 技术 。 

密 钥 管理 的 目的 是 维持 系统 中 各 实体 之 间 的 密 钥 关系 ,以 抗击 各 种 可 能 的 威胁 , 如 : 

(1) 密 钥 的 泄漏 。 

(2) 密 钥 或 公开 钥 的 确证 性 (Authenticity) 的 丧失 ， 确 证 性 包括 共享 或 有 关于 一 个 
密 钥 的 实体 身份 的 知识 或 可 证 实 性 。 

(3) 密 钥 或 公开 钥 未 经 授权 使 用 ， 如 使 用 失效 的 密 钥 或 违例 使 用 密 钥 。 

密 钥 管理 与 特定 的 安全 策略 有 关 ， 而 安全 策略 又 根据 系统 环境 中 的 安全 威胁 制定 。 
一 般 安 全 策略 需要 对 下 述 几 个 方面 做 出 规定 : 四 密 钥 管理 在 技术 和 行政 方面 要 实现 哪些 
要 求 和 所 采用 的 方法 ， 包 括 自 动 和 人 工 方式 ，@ 每 个 参与 者 的 责任 和 义务 ，@ 为 支持 和 
审计 、 追 踪 与 安全 有 关 事 件 需 做 的 记录 的 类 型 。 

密 钥 管理 要 借助 加 密 、 认 证 、 签 名 、 协 议 、 公 证 等 技术 。 密 钥 管理 系统 中 常常 依靠 
可 信 第 三 方 参与 的 公证 系统 。 公 证 系统 是 通信 网 中 实施 安全 保密 的 一 个 重要 工具 ， 它 不 
仅 可 以 协助 实现 密 钥 的 分 配 和 证 实 ， 而 且 可 以 作为 证 书 机 构 、 时 戳 代 理 、 密 钥 托管 代理 
和 公证 代理 等 。 不 仅 可 以 断定 文件 签署 时 间 ， 还 可 保证 文件 本 身 的 真实 可 靠 性 ， 使 签名 
者 不 能 否认 他 在 特定 时 间 对 文件 的 签名 。 在 发 生 纠纷 时 可 以 根据 系统 提供 的 信息 进行 促 
裁 。 公 证 机 构 还 可 采用 审计 追踪 技术 ， 对 密 钥 的 注册 、 证 书 的 制作 、 密 钥 更 新 、 撤 销 进 
行 记 录 审 计 等 。 


10.3.2 ” 密 钥 的 种 类 


密 钥 的 种 类 多 而 繁杂 ， 但 在 一 般 通 信和 网 的 应 用 中 有 基本 密 钥 、 会 话 密 钥 、 密 钥 加 密 
密 钥 、 主 机 主 密 钥 及 双 钥 体 制 下 的 公 钥 和 私 钥 等 。 几 种 密 钥 之 间 的 关系 如 图 10-5 所 示 。 
会 话 密 钥 大 
i 


EEH, — ”混合 器 o 密 钥 产生 器 e 数据 加 密 密 钥 



































图 10-5” 几 种 密 钥 之 间 的 关系 
(1) 基本 密 钥 (Base Key) 或 称 初始 密 钥 (Primary Key)， 以 ,表示 ， 它 是 由 用 户 


选 定 或 由 系统 分 配 、 可 在 较 长 时 间 〈 相 对 于 会 话 密 钥 ) 内 由 一 对 用 户 专用 的 密 钥 ， 故 又 
称 做 用 户 密 钥 (UserKey)。 基 本 密 钥 既 要 安全 ， 又 要 便于 更 换 ， 能 与 会 话 密 钥 一 起 去 启 
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动 和 控制 某 种 算法 所 构造 的 密 钥 产生 器 ， 产 生 用 于 加 密 数据 的 密 钥 流 。 

(2) 会 话 密 钥 (Session Key)。 两 个 通信 终端 用 户 在 一 次 通话 或 交换 数据 时 所 用 的 密 
H, 以 不 表示 。 当 用 于 对 传输 的 数据 进行 保护 时 ，, 称 其 为 数据 加 密 密 钥 (Data Encrypting 
Key)， 当 用 于 保护 文件 时 ， 称 其 为 文件 密 钥 (File Key)。 会 话 密 钥 的 作用 是 使 人 们 可 以 
不 必 频 繁 地 更 换 基 本 密 钥 ， 这 有 利于 密 钥 的 安全 和 管理 。 这 类 密 钥 可 由 用 户 双 方 预先 约 
定 ， 也 可 由 系统 通过 密 钥 建立 协议 动态 地 产生 并 赋予 通信 双方 ， 它 为 通信 双方 专用 ， 故 
又 称 专用 密 钥 (Private Key)。 由 于 会 话 密 钥 使 用 时 间 短 暂且 有 利于 安全 性 ， 它 限制 了 密 
码 分 析 者 攻击 时 所 能 得 到 的 同一 密 钥 下 加 密 的 密 文 量 ， 在 密 钥 不 慎 丢 失 时 ， 所 泄漏 的 数 
据 量 有 限 ， 会 话 密 钥 只 在 需要 时 通过 协议 建立 ， 从 而 降低 了 分 配 密 钥 的 存储 量 。 

(3) 密 钥 加 密 密 钥 (Key Encrypting Key)。 用 于 对 传送 的 会 话 或 文件 密 钥 进行 加 密 
时 采用 的 密 钥 ， 也 称 次 主 密 钥 (Submaster Key)、 辅 助 ( 二 级 ) 密 钥 (Secondary Key) 
或 密 钥 传送 密 钥 (Key Transport Key), LA ke 表示 。 通 信和 网 中 每 个 节点 都 分 配 有 一 个 这 类 
密 钥 。 为 了 安全 ， 各 节点 的 密 钥 加 密 密 钥 应 互 不 相同 。 每 台 主 机 都 必须 存储 有 关 到 其 他 
各 主机 和 本 主机 范围 内 各 终端 所 用 的 密 钥 加 密 密 钥 ， 而 各 终端 只 需要 一 个 与 其 主机 交换 
会 话 密 钥 时 所 需 的 密 钥 加 密 密 铀 ， 称 之 为 终端 主 密 钥 〈Terminal Master Key)。 在 主机 和 
一 些 密码 设备 中 ， 存 储 各 种 密 钥 的 装置 应 有 断 电 保护 和 防 窜 扰 、 防 欺诈 等 控制 功能 。 

(4) 主机 主 密 钥 (Host Master Key)。 它 是 对 密 钥 加 密 密 钥 进行 加 密 的 密 铀 ， 存 于 主 
机 处 理 器 中 ， 以 表示 。 

单 密 钥 除 上 述 儿 种 密 钥 外 ， 在 工作 中 还 会 碰 到 一 些 密 钥 。 例 如 ， 用 户 选 择 密 钥 
(Custom Option Key)， 用 来 保证 同一 类 密码 机 的 不 同 用 户 使 用 不 同 的 密 钥 ， 还 有 族 密 钥 
(Family Key) 及 算法 更 换 密 钥 (Algorithm Changing Key) 等 。 这 些 密 钥 的 某 些 作 用 可 以 
归 入 上 述 几 类 中 的 一 类 。 它 们 主要 是 在 不 增 大 更 换 密 钥 工作 量 的 条 件 下 扩大 可 使 用 的 密 
钥 量 。 基 本 密 钥 一 般 通 过 面板 开关 或 键盘 选 定 ， 而 用 户 选 择 密 钥 常 要 通过 更 改 密 钥 产生 
算法 来 实现 。 例 如 ， 在 非 线 性 移 存 器 型 密 钥 流 产生 器 中 ， 基 本 密 钥 和 会 话 密 钥 用 于 确定 
寄存 器 的 初 态 ， 而 用 户 选择 密 钥 可 决定 寄存 器 反馈 线 抽 头 的 连接 。 

(5) 在 双 钥 体制 下 ， 还 有 公开 钥 和 秘密 钥 、 签 名 密 钥 和 证 实 密 钥 之 分 。 

有 关 密 钥 管 理 的 基本 论述 可 参阅 相关 文献 [SO8732 1987; Matyas 等 1991; Ford 1994; 
ITU-T REC X.509 1995a, 1995b, 1993; Menezes 等 1995]. 


404 ZER 






































在 现代 数据 系统 中 加 密 需 要 大 量 密 钥 ， 以 分 配给 各 主机 、 节 点 和 用 户 。 如 何 产 生 好 
的 密 钥 是 很 关键 的 。 密 钥 可 以 用 手工 方式 产生 ， 也 可 以 用 自动 生成 器 产生 。 所 产生 的 密 
钥 要 经 过 质量 检验 ， 如 伪 随 机 特性 的 统计 检验 。 用 自动 生成 器 产生 密 钥 不 仅 可 以 减少 人 
的 烦琐 劳动 ， 而 且 还 可 以 消除 人 为 差错 和 有 意 泄 漏 ， 因 而 更 加 安全 。 自 动 生成 器 产生 密 
钥 算法 的 强度 非常 关键 。 
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10.4.1 密 钥 选择 对 安全 性 的 影响 


1. 使 密 钥 空间 减 小 
例如 56b (10'°) 的 DES 在 软件 加 密 下 ， 若 只 限 用 小 写字 母 和 数字 ， 则 可 能 的 密 钥 





数 仅 为 10”。 在 不 同 的 密 钥 空间 下 可 能 的 密 钥 数 如 表 10-1 所 示 。 


攻击 





2. 差 的 选择 方式 易 受 字典 式 攻 击 

攻击 者 首先 从 最 容易 之 处 着 手 ， 如 英文 字母 、 名 字 、 普 通 的 扩展 等 ， 这 称 为 字典 式 
(Dictionary Attack)，25% 以 上 的 口令 可 由 此 方式 攻破 ， 具 体 方 法 如 下 : 

(1) 本 人 名 、 首 字母 、 账 户 名 等 有 关 个 人 信息 。 

(2) 从 各 种 数据 库 采 用 的 字 试 起 。 

(3) 从 各 种 数据 库 采 用 的 字 的 置换 试 起 。 

(4) 从 各 种 数据 库 采 用 的 字 的 大 写 置 换 试 起 ， 如 Michael 和 michael 等 。 

(5) 外 国人 用 外 国文 字 试 起 。 

(6) 试 对 等 字 。 

这 种 攻击 方法 在 攻击 一 个 多 用 户 的 数据 或 文件 系统 时 最 有 效 ， 上 千 人 的 口令 中 总 会 





有 几 个 口令 是 较 弱 的 。 


小 写字 母 (26) | 4.6X105 3.1X108 8.0x10° 2.110" 


# 10-1 密 钥 空间 


T 


8b 


ENCE 207 
orth 22x10" 
95 Ff ET 
1 Toa 





10.4.2 ”好 的 密 钥 


(1) RERS SAR, WAEN, WETE. 

(2) 避免 使 用 特定 算法 的 弱 密 钥 。 

(3) 双 钥 系统 的 密 钥 更 难以 产生 ， 因 为 必须 满足 一 定 的 数学 关系 。 

(4) 为 了 便于 记忆 ， 密 钥 不 能 选 得 过 长 ， 而 且 不 可 能 选 完全 随机 的 数 串 ， 要 选用 易 














记 而 难 猜 中 的 密 钥 。 





S) 采用 密 钥 揉搓 或 杂凑 技术 ， 将 易 记 的 长 句子 〈10 一 15 个 英文 字 的 通行 短语 )， 


经 单 向 杂凑 函数 变换 成 伪 随 机 数 串 (64b)。 
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10.4.3 不 同等 级 的 密 钥 产 生 的 方式 不 同 
(1) 主机 主 密 钥 是 控制 产生 其 他 加 密 密 钥 的 密 铀 ， 一 般 都 长 期 使 用 ， 所 以 其 安全 性 

















es 第 10 章 网 络 加 密 与 密 钥 管理 mm 


至 关 重 要 ， 故 要 保证 其 完全 随机 性 、 不 可 重复 性 和 不 可 预测 性 。 任 何 机 器 和 算法 所 产生 
的 密 钥 都 有 周期 性 和 被 预测 的 危险 ， 不 适合 作为 主机 主 密 钥 。 主 机 主 密 钥 的 数量 小 ， 可 


用 








投 硬币 、 掷 般 子 、 噪 声 产 生 器 等 方法 产生 。 
(2) 密 钥 加 密 密 钥 可 用 安全 算法 、 二 极 管 噪声 产生 器 、 伪 随机 数 产 生 器 等 产生 。 如 








在 主机 主 密 钥 控制 下 ， 由 XX.9.17 安全 算法 生成 。 











G) 会 话 密 钥 、 数 据 加 密 密 钥 (工作 密 钥 〉 可 在 密 钥 加 密 密 钥 控制 下 通过 安全 算法 


产生 。 


405 HANA 





密 钥 分 配方 案 研究 的 是 密码 系统 中 密 钥 的 分 发 和 传送 问题 。 从 本 质 上 讲 ， 密 钥 分 配 


是 使 用 一 串 数字 或 密 钥 对 通信 双方 所 交换 的 秘密 信息 进行 加 密 、 解 密 、 传 送 等 操作 ， 以 
实现 保密 通信 或 认证 签名 等 。 


递 


10.5.1 基本 方法 


通信 双方 可 通过 3 种 基本 方法 实现 秘密 信息 的 共享 : 一 是 利用 安全 信道 实现 密 钥 传 
-是 利用 双 钥 体制 建立 安全 信道 传递 ， 三 是 利用 特定 的 物理 现象 (如 量子 技术 ) 实 


现 密 钥 传递 。 下 面 分 别 对 这 3 种 方法 进行 详细 介绍 。 


1. 利用 安全 信道 实现 密 钥 传递 
这 种 方法 由 通信 双方 直接 面议 或 通过 可 靠 信使 递送 密 钥 。 传 统 的 方法 是 通过 邮递 


或 信使 护送 密 钥 。 密 钥 可 用 打印 、 穿 孔 纸 带 或 电子 形式 记录 。 这 种 方法 的 安全 性 完全 
取决 于 信使 的 忠诚 和 素质 ， 所 以 信使 必须 精心 挑选 ， 即 便 如 此 ， 仍 很 难 完全 消除 信使 
被 收买 的 可 能 性 。 这 种 方法 成 本 很 高 ， 薪 金 不 能 太 低 ， 否 则 会 危及 安全 性 。 有 人 估计 
此 项 支出 可 达 整 个 密码 设备 费用 的 三 分 之 一 。 这 种 方法 一 般 可 保证 密 钥 传递 的 及 时 性 
和 安全 性 ， 偶 尔 会 出 现 丢 失 、 汇 密 等 。 为 了 减少 费用 ， 可 采用 分 层 方式 传递 密 钥 ， 信 
使 只 传送 密 钥 加 密 密 钥 ， 而 不 去 传送 大 量 的 数据 加 密 密 钥 。 这 既 减 少 了 信使 的 工作 量 
〈 从 而 大 大 降低 了 费用 )， 又 克服 了 用 一 个 密 钥 加 密 过 多 数据 的 问题 。 当 然 这 不 能 完全 
克服 信使 传送 密 钥 的 缺点 。 由 于 这 种 方法 成 本 高 ， 所 以 只 适用 于 高 安全 级 密 钥 的 传递 ， 
如 主 密 钥 的 传递 。 





还 可 以 采用 某 种 更 隐蔽 的 方法 传送 密 钥 , 如 将 密 钥 分 拆 成 几 部 分 分 别 递送 ,如 图 10-6 


所 示 。 除 非 敌 手 可 以 截获 密 钥 的 所 有 部 分 ， 只 截获 部 分 密 钥 毫 无 用 处 。 因 此 ， 一 般 情况 
下 此 法 有 效 。 这 种 方法 只 适用 于 传递 少量 密 钥 的 情况 ， 如 主 密 钥 、 密 钥 加 密 密 钥 等 ， 且 
收 方 收 到 密 钥 后 要 妥善 保存 。 


用 主 密 钥 对 会 话 密 钥 加 密 后 ， 可 通过 公用 网 传送 ， 或 用 公 钥 密 钥 分 配 体制 实现 。 如 





果 采 用 的 加 密 系统 足够 安全 ， 则 可 将 其 看 做 是 一 种 安全 信道 。 
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信使 
人 | 挂号 邮件 
K2 
窗 钥 分 路 递送 人 一 | 特快 专递 接收 重组 密 铀 
i > [ti | 
INE 
K1|K2|K3|K4| K5 K1|K2|K3|K4|K5 















































B 10-6 ” 密 钥 分 路 递送 


2. 利用 双 钥 体制 建立 安全 信道 传递 

于 RSA, Diffie-Hellman 等 双 钥 体制 运算 量 较 大 ， 所 以 不 适合 用 于 对 语音 、 图 像 
等 实时 数据 进行 加 解密 。 但 是 ， 双 钥 体 制 却 非常 适合 用 来 进行 密 钥 的 分 配 。 我 们 知道 ， 
双 钥 体制 使 用 两 个 密 钥 ， 一 个 是 公 钥 ， 一 个 是 私 钥 。 公 钥 是 公开 的 ， 通 信 一 方 可 采用 公 
钥 对 会 话 密 钥 加 密 ， 然 后 再 将 密 文 传递 给 另 一 方 。 收 方 接收 到 密 文 后 ， 用 其 私 钥 解 密 即 
可 获得 会 话 密 钥 。 当 然 ， 这 里 存在 接收 方 假冒 他 人 发 布 公 钥 的 问题 。 为 了 确保 接收 方 所 
发 布 公 钥 的 真实 性 ， 发 送 方 可 以 通过 验证 接收 方 的 数字 证 书 来 获得 可 信 的 公 铀 。 这 需要 
设计 专门 的 密码 协议 来 实现 密 钥 的 密 钥 分 配 与 交换 。 

Newman 等 于 1986 年 提出 的 SEEK (Secure Electronic Exchange of Keys) 密 钥 分 配 
体制 系统 采用 Diffie-Hellman 和 Hellman-Pohlig 密码 体制 实现 。 这 一 方法 已 被 用 于 美国 
Cylink 公司 的 密码 产品 中 .Gong 等 提出 一 种 用 GF(p) 上 的 线性 序列 构造 的 公 钥 分 配方 案 。 

也 可 通过 可 信和 密 钥 管 理 中 心 (KDO 进行 密 钥 分 配 ， 如 采用 PEM, PKI/CA 等 技术 
分 配 密 钥 。 


3. 利用 量子 技术 实现 密 钥 传递 

量子 信息 将 成 为 后 黄 尔 时 代 的 新 技术 ， 它 是 量子 物理 与 信息 科学 相 融 合 的 新 兴 交 又 
学 科 。 量 子 信息 以 量子 态 作为 信息 单元 ， 信 息 从 产生 、 传 输 、 处 理 和 检测 等 均 服 从 量子 
力学 的 规律 。 基 于 量子 力学 的 特性 ， 诸 如 县 加 性 、 非 局 域 性 、 纠 缠 性 、 不 可 克隆 性 等 ， 
量子 信息 可 以 实现 经 典 信息 无 法 做 到 的 新 的 信息 功能 ， 突 破 现 有 信息 技术 的 物理 极限 。 

量子 信息 以 光子 的 量子 态 表征 信息 。 如 果 约 定 光子 偏振 态 的 圆 偏振 代表 “1”， 线 偏 
振 代表 “0”。 量 子 比特 与 经 典 比特 的 区 别 如 图 10-7 所 示 。 















































mms 1 O- | O O Ff 
经 典 比特 0 1 0 0 1 1 0 


图 10-7 量子 比特 与 经 典 比特 的 区 别 
基于 量子 密码 的 密 钥 分 配方 法 是 利用 物理 现象 实现 的 。 量 子 密码 可 以 确保 量子 密 钥 
分 配 的 安全 性 ， 与 一 次 一 密 算 法 的 不 可 破译 性 相 结合 ， 可 提供 不 可 和 窃听、 不 可 破译 的 安 
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全 保密 通信 。 密码 学 的 信息 理论 研究 指出 , 通信 双方 4 到 B 可 通过 先期 精 选 、 信息 协 调 、 
保密 增强 等 密码 技术 来 实现 使 4 和 她 共享 一 定 的 秘密 信息 ， 而 窃听 者 对 其 却 一 无 所 知 。 


10.5.2 ” 密 钥 分 配 的 基本 工具 


认证 技术 和 协议 技术 是 分 配 密 钥 的 基本 工具 。 认 证 技术 是 安全 分 配 密 钥 的 保障 ， 协 
议 技术 是 实现 认证 和 密 钥 分 配 必须 遵循 的 流程 。 有关 密 钥 分 配 的 各 种 协议 将 在 本 章 后 面 
做 介绍 。 


10.5.3” 密 钥 分 配 系 统 的 基本 模式 


小 型 网 可 采用 每 对 用 户 共享 一 个 密 钥 的 方法 ， 这 在 大 型 网 中 是 不 可 实现 的 。 一 个 有 N 
个 用 户 的 系统 ， 为 实现 任意 两 个 用 户 之 间 的 保密 通信 ， 需 要 生成 和 分 配 MN-1)/2 个 密 钥 
才能 保证 网 中 任意 两 个 用 户 之 间 的 保密 通信 。 随 着 系统 规模 的 加 大 ， 复 杂 性 剧 增 ， 例 如 
N=1000 时 ， 就 需要 有 约 50 万 个 密 钥 进行 分 配 、 存 储 等 。 为 了 降低 复杂 度 ， 人 们 常 采用 中 
心 化 密 钥 管理 方式 ， 将 一 个 可 信 的 联机 服务 器 作为 密 钥 分 配 或 转 递 中 心 (KDC 或 KTC) 
来 实现 密 钥 分 配 。 图 10-8 给 出 几 种 密 钥 分 配 的 基本 模式 ， 其 中 上 表示 4 和 B 共享 密 钥 。 

(1) 图 10-8 (a) 中 由 4 直接 将 密 钥 送 给 B， 利 用 4 B 的 共享 基本 密 钥 加 密实 现 。 

(2) 图 10-8 (b) P A 向 KDC 请 求 发 放 与 B 通信 用 的 密 钥 ，KDC 生成 传 给 A, 
并 通过 4 转 递 给 B， 或 KDC 直接 给 B， 利 用 A 与 KDC Ail BG KDC 的 共享 密 钥 实现 。 

(3) 图 10-8 Co) 中 4 将 与 B 通 信用 会 话 密 钥 上 送 给 KTC，KTC 再 通过 4 转 递 给 B, 
或 KTC 直接 送 给 B， 利 用 4 与 KTC 和 B 与 KTC 的 共享 密 钥 实现 。 
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(c) 密 钥 传 递 中 心 (KTC) 








图 10-8 ” 密 钥 分 配 的 基本 模式 


于 有 KDC 或 KTC 参与 ， 各 用 户 只 须 保 存 一 个 与 KDC 或 KTC 共享 的 较 长 期 使 用 的 
密 钥 但 要 承担 的 风险 是 中 心 的 可 信赖 度 ， 中 心 节 点 一 旦 出 问题 将 极 大 地 威胁 系统 的 安全 性 。 


10.5.4 可 信 第 三 方 TTP 
可 信 第 三 方 (Trusted Third Parties, TTP) 可 按 协 调 Cin Line)、 联 机 〈On Line) 和 
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脱 机 (OffLine〉3 种 方式 参与 。 在 协调 方式 下 ,7 是 一 个 中 间 人 ,为 4 与 8 之 间 通 信 提 
供 实时 服务 ; 在 联机 方式 下 ,7T 实时 参与 4 和 8B 每 次 协议 的 执行 , 但 4 和 B 之 间 的 通信 
不 必 经 过 7; 在 脱 机 方式 下 ，7 不 实时 参与 4 和 B 的 协议 ， 而 是 预先 向 4 和 B 提供 双方 
执行 协议 所 需 的 信息 。 可 信 第 三 方 的 工作 模式 如 图 10-9 所 示 。 


联机 TTP 
A| 协调 TTP H B Pa re 


sa -B 
(a) 协调 (b) 联机 


Pa 脱 机 TTP ~ 人 、 


—<—<—<—$<___ § 
(c) 脱 机 


图 10-9 可 信 第 三 方 的 工作 模式 
当 4 和 B 属于 不 同 的 安全 区 域 时 ， 协 调 方式 特别 重要 。 证 书 发 放 管 理 机 构 常 采用 脱 
机 方式 。 脱 机 方式 对 计算 资源 的 要 求 较 低 ， 但 在 撤销 权宜 上 不 如 其 他 两 种 方式 方便 。 
TTP 可 以 是 一 个 公 钥 证 书 颁发 机 构 “CA )， 利 用 PKI 技术 颁发 证 书 。 它 包括 下 述 几 
个 组 成 部 分 ， 如 图 10-10 所 示 。 


(1) 证 书 管理 机 构 (Certification Authority, 用 户 服务 器 
CA)。 负 责 公 钥 的 建立 、 可 靠 性 的 证 实 。 在 基 注册 机 构 
于 证 书 的 体制 中 ，CA 通过 对 公 钥 的 签名 将 证 J 窗 角 生成 器 |、 


书 赋予 不 同 用 户 ， 并 负责 证 书 序号 和 证 书 吊销 (MAA "一 一 一 一 一 m1 证 书 管理 机 构 










































































的 管理 。 
(2) 用 户 名 服务 器 (Name Server)。 负 责 
管理 用 户 名 字 的 存储 空间 ， 保 持 其 唯一 性 。 图 10-10 “ 公 钥 证 书 机 构 业 务 


(3) 注册 机 构 (Registrator Authority)。 对 
可 由 安全 区 内 成 员 的 唯一 名 所 区 分 的 合法 实体 负责 。 用 户 注册 一 般 包 括 与 实体 有 关 的 密 
钥 材 料 。 

(4) 密 钥 生 成 器 。 建 立 公 钥 / 私 钥 对 〈 以 及 单 钥 体制 的 密 铀 、 通 行 字 等 )， 可 以 是 用 
户 的 组 成 部 分 ， 也 可 作为 CA 的 组 成 部 分 ， 或 是 一 个 独立 的 可 信赖 系统 。 

(5) 证 书 检索 。 用 户 可 以 查阅 的 证 书 数据 库 或 服务 器 ，CA 可 以 向 它 补充 证 书 ， 用 
户 只 可 以 管理 有 关 它 自己 的 数据 项 。 

TTP 还 可 提供 如 下 功能 : 

(1) 密 钥 服务 器 。 负 责 建立 各 有 关 实 体 的 认证 密 钥 和 会 话 密 铀 ， 用 KDC 和 KTC 

(2) 密 钥 管理 设备 。 负 责 密 钥 的 生成 、 存 储 、 建 档 、 审 计 、 报 表 、 更 新 、 撤 销 及 管 
理 证 书 业 务 等 。 

(3) 密 钥 查阅 服务 。 提 供用 户 根据 权限 访问 与 其 有 关 的 密 钥 信息 。 
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(4) 时 戳 代 理 。 确 定 与 特定 文件 有 关 的 时 间 信 息 。 

(5) 仲裁 代理 。 验 证 数字 签名 的 合法 性 ， 支 持 不 可 否认 业务 、 权 益 转让 及 某 一 陈述 
的 可 信人 性 。 

(6) 托管 代理 。 接 受用 户 所 托管 的 密 铀 ， 提 供 密 钥 恢复 业务 。 

不 同 的 系统 可 能 需要 不 同 可 信 度 的 TTP， 可 信 度 一 般 分 为 3 级 : 一 级 表示 TTP 知道 
每 个 用 户 的 密 钥 ; 二 级 表示 TTP 不 知道 用 户 的 密 钥 , 但 TTP 可 制作 假 的 证 书 而 不 会 被 发 
Hh; 三 级 表示 TTP 不 知道 用 户 的 密 铀 ，TTP 所 制作 的 假 证 书 可 以 被 发 现 。 


10.5.5 AEA 


C1) 主机 主 密 钥 的 注入 。 主 密 钥 由 可 信 的 保密 员 在 非常 安全 的 条 件 下 装 入 主机 ， 一 
且 装 入 ， 就 不 能 再 读 取 。 检 验 密 钥 是 否 已 正确 地 注入 设备 ， 需 要 有 可 靠 的 算法 。 例 如 ， 
可 选 一 随机 数 Rys EAER Krn 加 密 得 到 5,,(R,)， 同 时 计算 出 K; 的 一 个 函数 g 的 值 
Kn) COTH Hash 函数 )。 装 入 Kp 后 ， 若 它 对 Ry 加 密 结果 及 fe) 值 与 记录 的 值 相同 ， 
则 表明 K, 已 正确 装 入 主机 。 

要 防 电 磁 辐 射 、 防 窜 扰 、 防 人 为 出 错 ， 且 要 存 入 主机 中 不 易 丢 失 数据 的 存储 器 件 中 。 

(2) 终端 机 主 密 钥 的 注入 。 在 安全 环境 下 ， 由 可 信赖 的 保密 员 进 行 装 入 终端 。 当 终 
端 机 数量 较 多 时 ， 可 用 专用 密 钥 注入 工具 〈 如 密 钥 枪 》 实施 密 钥 注入 操作 。 密 钥 注 入 后 
就 不 能 再 读 取 。 密 钥 注 入 后 要 验证 装 入 数据 的 正确 性 ， 可 以 通过 与 主机 联机 检验 ， 也 可 
脱 机 检验 。 

(3) 会 话 密 钥 的 获取 。 例 如 ， 主 机 与 某 终端 通信 ， 主 机 产生 会 话 密 钥 K,， 以 相应 终 
EWH K, 对 其 进行 加 密 得 Ex, (Ks) ， 将 其 送 给 终端 机 。 终 端 机 以 K, 进 行 解密 ， 得 K,， 
送 至 工作 密 钥 产生 器 ， 去 生成 工作 密 钥 ， 如 图 10-11 所 示 。 


Ex(K,) 








终端 主 密 钥 K 
i 1 
工作 密 钥 生 成 器 | 一 一 一 | 解密 D 


Vk, 


图 10-11 会 话 密 钥 的 生成 
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在 密 钥 分 配 过 程 中 ， 需 要 对 密 钥 进行 认证 ， 以 确保 密 钥 被 正确 无 误 地 送 给 了 指定 的 
用 户 ， 防 止 伪装 信使 递送 假 密 钥 套 取 信息 ， 并 防止 密 钥 分 配 中 的 差错 。 在 信使 递送 密 钥 
时 ， 他 需要 相信 信使 ， 并 需要 对 密 钥 进行 确证 。 例 如 ， 采 用 指纹 法 比 用 ID 卡 更 好 些 ,而 
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让 信使 递送 加 密 后 的 密 钥 可 能 要 安全 些 。 若 密 钥 通过 加 密 密 钥 送 来 ， 他 得 相信 只 有 对 方 
B 才 有 此 密 钥 ;车 B 用 数字 签名 协议 签署 该 密 钥 ， 则 当 4 证 实 此 密 钥 时 他 得 相信 公共 数 
据 库 提供 的 B 的 公 钥 :车 密 钥 分 配 中心 (KDC) 签署 了 BINA, A 必须 相信 KDC 给 
它 的 公 钥 复 件 未 被 算 改 。 这 些 都 需要 对 公 钥 认证 ， 因 为 任何 可 从 公 钥 本 得 到 某 用 户 公 钥 
的 人 ， 都 可 向 他 送 假 密 钥 以 求 进行 保密 通信 。 因 此 ， 必 须 使 接收 密 钥 的 用 户 能 够 确认 出 
送 密 钥 的 是 谁 。 采用 公 钥 签名 法 可 以 解决 这 个 问题 。 虽 然 这 种 方法 能 够 证 实 递送 密 钥 者 ， 
但 还 不 能 确 知 谁 收 到 了 密 钥 ， 伪 装 者 也 可 以 公布 一 个 公 钥 冒充 合法 用 户 要 求 进行 保密 通 
信 。 除 非 这 一 合法 用 户 与 其 要 通信 的 人 进行 接触 ， 或 合法 用 户 自己 公开 声明 其 公 钥 ， 否 
则 安全 性 就 无 保障 。SEEK 法 也 存在 着 类 似 的 问题 。 因 此 ， 采 用 这 些 电子 分 配 密 钥 方法 
时 也 要 特别 小 心 ， 需 精心 地 设计 分 配 密 钥 的 安全 协议 。 

现实 世界 可 能 有 各 种 欺诈 ， 若 攻击 者 控制 了 4 向 外 联系 的 网 络 ， 他 可 伪装 成 B 发 送 
一 个 加 密 并 签名 的 消息 给 4。 当 4 想 访 问 公 钥 数 据 库 以 证 实 是 否 为 B 的 签名 时 ， 攻 击 者 
可 用 他 的 公 钥 来 代替 B 的 公 钥 ， 且 可 伪造 一 个 假 的 KDC， 并 将 真正 的 KDC 的 公 钥 换 成 
他 自己 伪造 的 公 钥 。 此 方法 在 理论 上 是 可 行 的 ， 但 实行 起 来 很 复杂 。 采 用 数字 签名 和 可 
信赖 的 KDC， 使 得 攻击 者 以 一 个 密 钥 代 换 另 一 个 密 钥 更 为 困难 。4 不 能 低估 攻击 者 控制 
他 的 整个 网 络 的 能 力 ， 但 4 可 以 相信 要 做 此 事 所 需 的 资源 比 攻击 者 攻击 大 多 数 现 有 系统 
所 需要 的 资源 要 多 得 多 。4 可 通过 电话 证 实 B 的 公 钥 ， 即 根据 熟悉 的 声音 认证 4 所 得 的 
密 钥 为 也 的 。 若 密 钥 太 长 ， 可 用 单 向 hash 函数 技术 证 实 密 钥 。 

有 时 不 仅 要 证 实 所 拥有 公 钥 的 人 是 谁 ， 而 且 还 要 证 实在 以 前 某 个 时 候 ， 如 去 年 他 是 
否 属于 同一 个 人 。 银 行 收 到 一 个 提 款 签名 时 ， 一 般 不 太 关心 谁 提 款 ， 而 主要 关心 他 是 否 
是 最 初 存款 的 人 。 

除了 要 对 密 钥 的 主权 人 进行 认证 外 ， 还 要 对 密 钥 的 完整 性 进行 认证 。 密 钥 在 传送 过 
程 中 可 能 出 错 ， 致 使 千 百 万 位 数据 不 能 解密 ， 因 此 要 认真 对 待 。 可 采用 检 错 、 纠 错 技术 ， 
如 校 验 和 ; 以 密 钥 对 全 0 或 全 1 常量 加 密 ， 将 密 文 的 前 2 一 4b 和 密 钥 一 起 通过 安全 方式 
送出 。 接 收 端 做 同样 的 事 ， 并 检验 加 密 结果 的 前 2 一 4b 是 否 相 同 。 若 相同 ， 则 密 钥 出 错 
HRI ~”, 
AY Wik RBG, RA RARU RHEE Creshness), A AIMER ik 
作业 号 以 及 累加 器 值 不 断 更 新 等 技术 来 保证 [Denning 等 1981]。 下 面具 体 介 绍 儿 种 密 铀 
证 实 技术 。 


10.6.1 单 钥 证 书 


单 钥 证 书 可 以 向 KTC 提供 一 种 工具 ，KTC 利用 此 证 书 可 以 避免 对 用 户 秘密 的 安全 
数据 库 维护 ， 在 多 服务 器 下 复制 这 类 数据 库 ， 或 根据 传送 要 求 从 库 中 检索 这 类 密 钥 。 对 
于 用 户 4， 他 有 与 TTP 共享 的 密 钥 KAT， 以 TTP 的 密 钥 KT 对 KAT 和 用 户 4 的 身份 加 
密 得 Ea lKa AL) 就 可 作为 单 钥 证 书 (Symmetric Key Certificates), HP L 为 使 用 期 限 。 
TTP Fi Eo (Ku AL) 发 给 4， 作 为 用 户 使 用 密 钥 Kar 的 合法 性 证 据 ， 以 SCert, 表示 。TTP 
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不 需要 保存 KK,, ， 只 要 保存 Kj 即 可 ; 需要 时 ， 如 4 要 与 B 进行 保密 通信 ， 可 首先 向 B 
索取 或 从 密 钥 数 据 库 查 找 出 证 书 SCerts = E,,(Ky,.B.L) ， 而 后 向 TTP 送出 
SCert ,,£,,(B, M),SCerts 
即 可 按 有 关 协 议 实现 会 话 密 钥 建立 。 其 中 ，M 是 秘密 消息 ， 也 可 为 会 话 密 钥 。TTP 需 采 
用 联机 方式 ， 以 便 用 其 主 密 钥 进行 解密 。 密 钥 数据 库 可 以 由 各 用 户 名 及 相应 证 书 组 成 。 
有 关 单 钥 证 书 可 参阅 相关 文献 [SO/IEC11770 1996b]。 


10.6.2 ” 公 钥 的 证 实 技术 


公 钥 的 证 实 技术 有 下 述 儿 种 方法 : 

a) 通过 可 信赖 信道 实现 点 -点 间 递 送 。 通 过 个 人 直接 交换 或 直通 信道 〈 信 使 、 挂 号 
邮件 ) 直接 得 到 有 关 用 户 的 可 靠 公 铀 ， 适 用 于 小 的 封闭 系统 或 不 经 常用 的 〈 如 一 次 性 用 
户 注册 ) 场合 。 通 过 不 安全 信道 交换 公 钥 和 有 关 信息 要 经 过 认证 和 完整 性 检验 。 

该 方法 的 缺点 是 不 太 方便 、 耗 时 ， 每 个 新 成 员 都 要 通过 安全 信道 预先 分 配 公 钥 ， 不 
易 自动 化 ， 可 信赖 信道 成 本 高 等 。 

(2) 直接 访问 可 信赖 公 钥 文件 ( 公 钥 注册 本 )。 利 用 一 个 公 钥 数 据 库 记 录 系 统 中 每 个 
用 户 名 和 相应 的 可 靠 的 公 钥 。 可 信赖 者 管理 公 钥 的 注册 ， 用 户 通过 访问 公 钥 数据 库 获取 
有 关 用 户 的 公 钥 ; 在 远程 访问 时 要 经 过 不 安全 信道 ， 须 防范 窃听 ; 为 了 防范 主动 攻击 需 
要 利用 认证 技术 实施 公 钥 库 的 注册 和 访问 。 

G) 利用 联机 可 信赖 服务 器 。 可 信赖 服务 器 可 以 受用 户 委托 查询 公 钥 库 中 存储 的 可 
信 公 钥 ， 并 在 签署 后 传送 给 用 户 。 用 户 用 服务 器 的 公 钥 证 实 其 所 签 的 消息 。 此 方法 的 缺 
点 是 要 求 可 信赖 服务 器 联机 工作 ， 从 而 在 业务 忙 时 成 为 瓶颈 ， 而 且 每 个 用 户 要 先 与 可 信 
赖 服务 器 通信 后 再 与 所 要 的 用 户 通信 。 

(4) 采用 脱 机 服务 器 和 证 书 。 每 个 用 户 都 可 与 脱 机 可 信赖 的 证 书 机 构 CCA) 进行 一 
次 性 的 联系 ， 向 其 进行 公 钥 注 册 并 获得 一 个 由 CA 签署 的 公 钥 证 书 。 各 用 户 通过 交换 自 
己 的 公 钥 证 书 ， 并 用 CA 的 公 钥 进行 验证 ， 即 可 提取 出 所 要 的 可 信 公 和 钥 。 

(5) 采用 可 隐 含 保证 公 钥 参数 真实 性 的 系统 。 这 类 系统 有 基于 身份 的 系统 ， 以 及 通 
过 算法 设计 、 公 钥 参 数 受 到 修正 时 可 以 检测 、 非 泄漏 失败 (Non Compromising Failure) 
等 密码 技术 实现 的 隐 式 证 实 密 钥 的 系统 。 

有 关内 容 可 参阅 [Diffie 1976]. 

10.6.3” 公 钥 认证 树 

认证 树 (Authentication Trees) 可 以 提供 一 种 可 证 实 公 开 数 据 的 真实 性 的 方法 ， 以 树 
形 结构 结合 合适 的 杂凑 函数 、 认 证 根 值 等 实现 。 认 证 树 可 用 于 下 述 场合 : 

(1) 公 钥 的 认证 (是 另 一 种 公 钥 证 书 )， 由 可 信赖 第 三 方 建立 认证 树 ， 其 中 包含 用 户 
的 公 钥 ， 可 实现 大 量 密 钥 的 认证 。 

(2) 实现 可 信赖 时 戳 业务 ， 由 可 信赖 第 三 方 建立 认证 树 ， 用 类 似 于 〈1) 的 方法 实现 。 

G) 用 户 合法 参数 的 认证 ， 由 某 个 用 户 建立 认证 树 ， 并 以 可 证 实 真实 性 的 方式 公布 
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其 大 量 的 公开 合法 的 参数 ， 如 在 一 次 性 签名 体制 中 所 用 的 参数 。 
下 面 以 二 元 树 为 例 说 明 。 二 元 树 由 节点 和 有 向 线段 组 成 ， 如 图 10-12 所 示 。 二 元 树 
的 节点 有 3 种 ， 根 节点 ， 有 左右 两 个 朝向 它 的 线段 ， 中 间 节 点 ， 有 3 个 线段 ， 其 中 有 两 
个 朝向 它 ， 一 个 背离 它 ， 端 节点 〈 叶 )， 只 有 一 个 背离 它 的 线段 。 
一 个 中 间 节 点 引出 的 左右 两 个 相 邻 节点 称 为 该 中 间 节 点 的 子 节点 ， 称 此 中 间 节点 
为 相应 两 个 子 节点 的 父 节点 。 从 任 一 非 根 节点 到 根 节点 有 一 条 唯一 的 通路 。 
下 面 介绍 如 何 构造 认证 树 。 考 察 一 个 有 1 个 可 信 的 公开 值 Ya Yo coe Yoo RPEN 
法 构造 一 个 认证 树 : 以 唯一 公开 值 所 标示 第 i 个 端 节 点 ， 以 杂 北 值 CY) 表示 离 去 的 线 
段 ， 上 一 级 中 间 节点 车 其 左右 两 边 都 有 下 级 节点 ， 则 以 其 相应 杂凑 值 链接 后 的 杂凑 值 表 
示 其 离 去 的 线段 。 如 ;=h(H, 1,) ， 以 此 类 推 直至 出 现 根 节点 ， 如 图 10-13 所 示 。 

































































R=h(H, || Hy) 
右 支 路 AAA || Hs) Heh(Y) 
Ye 53n 
Hs=h(H' || H) 
Ys 六 
Hi=h(¥) HWY) 
= SS 
图 10-12 二 元 树 图 10-13 ”认证 树 


认证 方法 如 下 ， 以 图 10-13 为 例 说 明 对 密 钥 的 证 实 。 

公开 值 Yi FIVE AC)» ACK)» WY) 提供 认证 。 首 先 计算 h(Y)， 然 后 计算 
H, =h(H, || H,); ist, =h(H, Hs)， 最 后 计算 h(He Hy)» FAC, || H,)=R; W 
接受 六 为 真 ， 否则 就 拒绝 。 

若 实 体 4 认证 1 个 公开 值 了 五 ， 呈 ，…，i， 可 以 将 每 个 值 向 可 信赖 第 三 方 注册 。 当 + 
很 大 时 ， 将 大 大 增加 存储 量 ， 采 用 认证 树 则 仅 需要 向 第 三 方 注册 一 个 根 值 。 

若 实体 4 的 公 钥 值 和 相应 于 认证 树 的 一 个 端 节点 , 4 若 向 B 提供 4 的 此 公 钥 ,允许 
B 对 六 进行 证 实 ， 则 4 必须 向 B 提 供 钱 到 根 节点 通路 上 的 所 有 杂凑 值 。B 就 可 经 计算 杂 
次 最 终 证 明 的 真 伪 。 类 似 地 可 以 以 验证 签名 代替 计算 杂凑 函数 。 

为 了 实现 方便 ， 应 使 认证 二 元 树 的 最 长 通路 极 小 化 ， 此 时 各 路 径 长 度 最 多 相差 一 个 
支 路 。 路 径 长 度 约 为 log t+， 其 中 + 是 公开 值 的 个 数 。 当 需要 改变 或 增加 或 减少 一 个 公开 
值 素 时 ， 就 要 对 有 关 路 径 中 的 表示 杂凑 值 重新 进行 计算 。 


10.6.4 AAEE 


公 钥 证 书 (Public Key Certificate) 是 一 个 载体 ， 用 于 存储 公 钥 。 可 以 通过 不 安全 媒 
体 安全 地 分 配 和 转 递 公 钥 ， 使 一 个 实体 的 公 钥 可 被 另 一 个 实体 证 实 而 能 放心 地 使 用 。 此 
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外 ，X.509 v3 中 还 描述 了 用 于 权限 管理 的 属性 证 书 (Attribute Certificates)。 有 关内 容 请 
参阅 第 9 章 。 


10.6.5 ”基于 身份 的 公 钥 系统 


基于 身份 ID (identity) 的 系统 类 似 于 前 述 的 普通 公 钥 系统 ， 它 包含 一 个 秘密 传递 变 
换 和 一 个 公开 的 变换 。 但 用 户 没 有 一 个 显 式 公 钥 ， 而 是 以 用 户 公开 可 利用 的 身份 (用 户 
名 、 网 址 、 地 址 等 ) 替代 公 钥 〈 或 由 它 构造 公 钥 )。 这 类 公开 可 利用 的 信息 唯一 地 限定 了 
用 户 ， 能 够 作为 用 户 的 身份 信息 ， 具 有 不 可 否认 性 。 

基于 身份 的 密 钥 系统 是 一 种 非 对 称 系统 ， 其 中 每 个 实体 的 公开 身份 信息 〈 唯 一 性 和 
真实 性 ) 起 着 它 的 公 钥 的 作用 ， 作 为 可 信赖 者 7 的 输入 的 组 成 部 分 ， 用 于 计算 实体 专用 
密 钥 时 不 仅 要 用 该 实体 的 身份 信息 ， 而 且 还 要 用 只 有 了 知道 的 一 些 特殊 信息 (如 了 的 密 
钥 )。 这 样 可 以 防止 伪造 和 假冒 ， 保 证 只 有 CA 能 够 根据 实体 的 身份 信息 为 实体 建立 合法 
的 专用 密 钥 。 类 似 于 公 钥 证 书 系 统 , 基于 ID 的 系统 中 的 公开 可 利用 数据 也 需要 通过 密码 
变换 加 以 保护 。 有 时 除了 ID 数据 外 ， 还 需要 一 些 由 系统 定义 的 有 关 实 体 4 的 辅助 数据 
Dao B| 10-14 给 出 了 基于 ID 的 系统 原理 图 。 
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图 10-14 基于 ID 的 公 钥 签名 系统 


图 10-14 中 IDa WKI A 的 身份 数据 ，DA 是 辅助 公开 数据 〈 由 了 定义 的 与 IPA 和 4 
密 铀 有 关 )，Ker 是 了 的 公开 钥 ，Ksr 是 了 的 密 钥 ， 由 三 元 组 (Da, IDa Kpr) 可 以 推出 
4 的 公开 钥 ， 从 而 可 以 验证 4 的 签名 。 与 公 钥 证 书 不 同 的 是 它 传 送 的 不 是 公 钥 ， 而 是 可 
以 导出 公 钥 的 一 些 有 关 身 份 的 信息 。 前 者 称 为 显 式 〈explicit) 证 书 系 统 ， 后 者 称 为 隐 式 
Cimplicitly) 证 书 系统 。 图 10-14 给 出 的 是 一 个 基于 身份 的 签名 系统 。 同 样 ， 它 可 以 构造 
基于 身份 的 实体 认证 、 密 钥 建立 、 加 密 等 系统 。 
基于 ID 的 系统 优点 是 :无须 预先 交换 对 称 密 钥 或 公 钥 ; 无 须 一 个 公 钥 本 ( 公 钥 或 
证 书 数据 库 ); 只 在 建立 阶段 需要 可 信赖 机 构 提供 服务 。 其 缺点 是 要 求实 体 身 份 数据 IDA。 
基于 身份 系统 的 初衷 是 要 去 掉 公 钥 的 传送 ， 以 身份 信息 实现 非 交 互 作 用 协议 。DA 在 密 钥 
协商 和 以 另 一 实体 的 公 钥 加 密 系 统 中 较为 重要 ， 而 在 签名 和 识别 系统 中 就 不 大 重要 ， 这 
是 因为 申请 公 钥 人 在 接收 消息 之 前 不 会 需要 申请 者 的 公 钥 , 此 时 不 难 提供 DA。 而 基于 ID 
的 系统 在 IC 卡 中 有 实用 价值 。Shamir [Shamir 1984] 最 早 提出 基于 ID 的 概念 ， 有 关 研 究 
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可 参阅 相关 文献 [Maurer 等 1991，1992]。 
10.6.6 RIERA 


在 隐 式 证 实 公 钥 的 系统 中 ， 不 是 直接 传送 用 户 的 公 钥 ， 而 是 传送 可 以 从 中 重 构 公 钥 
的 数据 ， 如 图 10-15 (a) 所 示 。 

隐 式 证 实 公 钥 系 统 应 实现 下 述 要 求 : 

(1) 实体 可 以 由 其 他 实体 从 公开 数据 重新 构造 。 

(2) 重 构 公 钥 的 公开 数据 中 ， 包 含 与 可 信赖 方 了 有 关 的 公开 〈 如 系统 ) 数据 、 用 户 
实体 的 身份 〈 或 识别 信息 ， 如 名 字 和 地 址 等 )， 以 及 各 用 户 的 辅助 公开 数据 。 

(3) 重 构 公 钥 的 完整 性 虽 不 是 可 直接 证 实 的 ， 但 “正确 ”的 公 钥 只 能 从 可 信赖 用 户 
的 公开 数据 恢复 。 

(4) 系统 设计 要 保证 攻击 者 在 不 知道 了 的 密 钥 条 件 下 ， 要 从 用 于 重 构 的 公开 数据 推 
出 实体 的 密 钥 在 计算 上 是 不 可 行 的 。 

隐 式 证 实 公 钥 可 分 为 两 类 。 一 类 是 基于 身份 的 公 钥 (Identity Based Public Keys)， 各 
实体 4 的 密 钥 由 可 信赖 方 了 根据 4 的 识别 信息 IDA，7 的 秘密 钥 Ksr， 以 及 由 了 预先 给 
定 的 有 关 A 的 用 户 特定 重 构 公 开 数 据 Ra 计算 ， 并 通过 安全 信道 送 给 4， 如 图 10-15 (b) 
所 示 。 另 一 类 是 自 证 实 公 钥 (Self-ceritified Public Keys)， 各 实体 4 自行 计算 其 密 钥 Ksa 
HA Krao JK KPA 传送 给 To TIRI 4 的 公 钥 Ke 的 识别 信息 IDA 和 了 的 密 钥 Ksr， 
计算 出 4 的 重 构 公开 数据 ， 如 图 10-15 Co) 所 示 。 第 1 类 对 T 的 可 信赖 程度 的 要 求 远 高 
于 第 2 类 。 














i | gg Lief i 
消息 ! 签字 生成 一 了 SPIE Pe 真 / 伪 


| 
可 选 方案 | | Ra | 
(图 中 b 或 ec 部分) CITI Pa] | Keri 
上 =: 























> 
$ 
al 
rsd 























实体 4 Ksa 
可 信赖 方 7 和 Ksa i 生成 公 / 私 铀 对 | 
安全 信道 | s aaar a 
H 二 抽 本 下 = Ry 
TAER | 公开 数据 生成 




































































(b) 基于 身份 的 公 钥 (c) 自 证 实 公 钥 
10-15” 隐 式 证 实 公 钥 系 统 
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隐 式 证 实 公 钥 较 公 钥 证 书 的 优越 之 处 在 于 降低 对 所 需 的 存储 空间 的 要 求 〈 签 名 的 
证 书 需要 较 多 存储 )， 降 低 了 计算 量 〈 证 书 要 求 对 签名 进行 验证 )， 降 低 了 通信 量 〈 基 
于 身份 或 预先 知道 身份 时 )。 但 重 构 公 钥 也 需要 进行 计算 ， 而 且 还 要 求 辅助 的 重 构 公 开 
数据 。 

有 关 研 究 可 参阅 相关 文献 [Brands 1995a]。 


107 ” 密 钥 的 保护 、 存 储 与 备份 





10.7.1 ” 密 钥 的 保护 


密 钥 的 安全 保密 是 密码 系统 安全 的 重要 保证 ， 保 证 密 钥 安全 的 基本 原则 除了 在 有 安 
全 保证 的 环境 下 进行 密 钥 的 产生 、 分 配 、 装 入 及 存储 于 保密 柜 内 备用 之 外 ， 密 钥 绝 不 能 
以 明文 形式 出 现 。 

(1) 终端 密 钥 的 保护 。 可 用 二 级 通信 密 钥 (终端 主 密 钥 ) 对 会 话 密 钥 进 行 加 密 保护 。 
终端 主 密 钥 存储 于 主 密 钥 寄存 器 中 ， 并 由 主机 对 各 终端 主 密 钥 进 行 管理 。 主 机 和 终端 之 
间 就 可 用 共享 的 终端 主 密 钥 保护 会 话 密 钥 的 安全 。 

(2) 主机 密 钥 的 保护 。 主 机 在 密 钥 管理 上 担负 着 更 繁重 的 任务 ,因而 也 是 对 手 攻 
击 的 主要 目标 。 在 任意 给 定 的 时 间 内 ， 主 机 可 有 几 个 终端 主 密 钥 在 工作 ， 因 而 其 密 
码 装 置 需 为 各 应 用 程序 所 共享 。 工 作 密 钥 存 储 器 要 由 主机 施 以 优先 级 别 进行 管理 加 
密 保 护 ， 称 此 为 主 密 钥 原则 。 这 种 方法 将 对 大 量 密 钥 的 保护 问题 化 为 仅 对 单个 密 钥 
的 保护 问题 。 在 有 多 台 主 机 的 网 络 系统 中 ， 为 了 安全 起 见 ， 各 主机 应 选用 不 同 的 主 
密 钥 。 有 的 主机 采用 多 个 主 密 钥 对 不 同类 密 钥 进行 保护 。 例 如 ， 用 主 密 钥 0 对 会 话 
密 钥 进行 保护 ， 用 主 密 钥 1 对 终端 主 密 钥 进行 保护 ， 而 网 络 中 传送 会 话 密 钥 时 所 用 
的 加 密 密 钥 为 主 密 钥 2。3 个 主 密 钥 可 存放 于 3 个 独立 的 存储 器 中 ,通过 相应 的 密码 
操作 进行 调用 ， 可 视 为 工作 密 钥 对 其 所 保护 的 密 钥 加 密 、 解 密 。 这 3 个 主 密 钥 也 可 
存储 于 密码 器 件 中 的 种 子 密 钥 (Seed Key) 按 某 种 密码 算法 导出 ， 以 计算 量 来 换 
取 存 储量 的 减少 。 此 法 不 如 前 一 种 方法 安全 。 除 采用 密码 方法 外 ， 还 必须 和 硬件 、 
软件 结合 起 来 确保 主机 主 密 钥 的 安全 。 

(3) 密 钥 分 级 保护 管理 法 。 图 10-16 和 表 10-2 
都 给 出 了 密 钥 的 分 级 保护 结构 ， 从 中 可 以 清楚 看 出 
各 类 密 钥 的 作用 和 相互 关系 。 由 此 可 见 ， 大 量 数据 
可 以 通过 少量 动态 产生 的 数据 加 密 密 钥 ( 初 级 密 钥 ) 
进行 保护 ; 而 数据 加 密 密 钥 又 可 由 更 少量 的 、 相 对 p= 
不 变 〈 使 用 期 较 长 ) 的 密 钥 〈 二 级 ) 或 主机 主 密 钥 Koo! 

0 来 保护 ， 其 他 主机 主 密 钥 (1 和 2) 用 来 保护 三 级 AGEN EE KK, 
密 钥 。 这 样 ， 只 有 极 少数 密 钥 以 明文 形式 存储 在 有 / 数据 ` 
严密 物理 保护 的 主机 密码 器 件 中 ， 其 他 密 钥 则 以 加 图 10-16” 密 钥 的 分 级 保护 
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密 后 的 密 文 形式 存 于 密码 器 之 外 的 存储 器 中 ， 因 而 大 大 简化 了 密 钥 管理 ， 并 增强 了 密 
钥 的 安全 性 。 





表 10-2 密 钥 分 级 结构 











密 钥 种 类 密 钥 名 用 途 保护 对 象 
BA Q=; Aje Èz k) 
ERAK 对 现 用 密 钥 或 存储 在 | TAEA 
主机 主 密 铀 1=Km 主机 内 的 密 钥 加 密 | TAERA 
密 钥 加 密 密 钥 | 主机 主 密 钥 2=K Tara 
终端 主 密 钥 K, ORF ED canna, | 初级 通信 密 钥 
文件 主 密 铀 (或 二 级 文件 密 钥 ) | 对 主机 外 的 密 钥 加 密 | iy mace 
ww | 会 话 (或 初级 ) BULK, 7 传送 的 数据 
SINE | 文件 (或 初级 ) RK, sada 存储 的 数据 





10.7.2 ” 密 钥 的 存储 


密 钥 存 储 时 必须 保证 密 钥 的 机 密 性 、 认 证 性 和 完整 性 ， 防 止 泄漏 和 被 修改 。 下 面 介 
绍 几 种 可 行 的 方法 。 

(1) 每 个 用 户 都 有 一 个 用 户 加 密 文件 备用 。 由 于 只 与 一 个 人 有 关 ， 由 个 人 负责 ， 因 
而 是 最 简易 的 存储 办 法 。 例 如 ， 在 有 些 系 统 中 ， Kute 于 个 人 的 大 脑 中 ， 而 不 存 于 系统 
P; 用 户 要 记 住 它 ， 并 且 要 在 每 次 需要 时 输入 它 ， 如 在 IPS 中 ， 用 户 可 直接 输入 64b 
密 钥 。 

(2) 存 入 ROM 钥 卡 或 磁卡 中 。 用 户 将 自己 的 密 钥 输 入 系统 ， 或 者 将 卡 放 入 读 卡 机 
或 计算 机 终端 。 若 将 密 铀 分 成 两 部 分 ， 一 半 存 入 终端 ， 另 一 半 存 入 如 ROM HRE. 一 
E ROM 钥 卡 丢失 也 不 至 于 泄漏 密 钥 。 终 端 丢失 时 同样 不 会 丢失 密 钥 。 
G) 难以 记忆 的 密 钥 可 用 加 密 形 式 存储 ， 利 用 密 钥 加 密 密 钥 来 做 。 如 RSA 的 密 钥 可 
用 DES 加 密 后 存 入 硬盘 ， 用 户 须 有 DES 密 钥 ， 运 行 解密 程序 才能 将 其 恢复 。 
(4) 若 利 用 确定 性 算法 来 生成 密 钥 (密码 上 安全 的 PN 数 生成 器 )， 则 每 次 需要 时 ， 
用 易于 记忆 的 口令 启动 密 钥 产生 器 对 数据 进行 加 密 。 但 这 一 方法 不 适用 于 文件 加 密 ， 原 
因 是 过 后 解密 时 ， 还 得 用 原来 的 密 钥 ， 因 此 必须 要 存储 该 密 钥 。 


10.7.3 BANE 


对 密 钥 进行 备份 是 非常 必要 的 。 如 一 个 单位 ， 密 钥 由 某 人 主管， 一 旦 发 生意 外 ， 如 
何 才 能 恢复 已 加 密 的 消息 ?因此 密 钥 必 须 有 备份 ， 交 给 安全 人 员 放 在 安全 的 地 方 保管 ; 
将 各 文件 密 钥 用 主 密 钥 加 密 后 封存 。 当 然 ， 必 要 条 件 是 安全 员 是 可 信 的 ， 他 不 会 逃跑 、 
不 会 出 卖 别 人 的 密 钥 或 滥用 别人 的 密 钥 。 

一 个 更 好 的 解决 办 法 是 采用 共享 密 钥 协议 。 这 种 协议 将 一 个 密 钥 分 成 几 部 分 ， 每 个 
有 关 人 员 各 保管 一 部 分 ， 但 任何 一 个 部 分 都 不 起 关键 作用 ， 只 有 将 这 些 部 分 收集 起 来 才 
能 构成 完整 的 密 钥 。 




















288 





第 10 章 ”网络 加 密 与 密 钥 管理 mm 
os SAA. BH IMS 


10.8.1 泄漏 与 吊销 


密 钥 的 安全 是 协议 、 算 法 和 密码 技术 设备 安全 的 基本 条 件 。 密 钥 一 旦 泄漏 ， 如 丢失 
或 被 窃 等 ， 安 全 保密 就 无 从 谈 起 。 唯 一 的 补救 办 法 是 及 时 更 换 密 钥 。 

若 密 钥 由 KDC 来 管理 ， 则 用 户 要 及 时 通知 KDC 撤销 此 密 钥 ; FE KDC, WEK 
时 告诉 可 能 与 其 进行 通信 的 人 ， 以 后 用 此 密 钥 通信 的 消息 无 效 且 可 疑 ， 本 人 概 不 负责 。 
当然 ， 声 明 要 加 上 时 戳 。 

当 用 户 不 确 知 密 钥 是 否 已 经 泄漏 或 泄漏 的 确切 时 间 时 ， 问 题 就 更 加 复杂 。 用 户 可 能 
要 撤回 合同 以 防 别人 用 其 密 钥 签署 另 一 份 合同 来 蔡 换 它 ， 这 将 引起 争执 ， 需 诉 诸 法律 或 
公证 机 构 裁决 。 

个 人 专用 密 钥 丢失 要 比 密 钥 丢失 更 加 严重 ， 因 为 密 钥 要 定期 更 换 ， 而 专用 密 钥 使 用 
期 更 长 。 若 丢失 了 专用 密 钥 ， 别 人 就 可 用 它 在 网 上 阅读 函件 、 窃 听 通 信和 签署 合同 等 。 
而 且 在 公用 网 上 ， 丢 失 的 专用 密 钥 传播 得 极 快 。 公 钥 数据 库 应当 在 专用 密 钥 丢失 后 ， 立 
即 采 取 行 动 ， 以 使 损失 最 小 化 。 


10.8.2 ” 密 钥 的 有 效 期 


密 钥 的 有 效 期 或 保密 期 (Cryptoperiod) 是 指 合法 用 户 可 以 合法 使 用 密 钥 的 期 限 。 

密 钥 使 用 期 限 必须 适当 限定 。 因 为 密 钥 使 用 期 越 长 ,泄漏 的 机 会 就 越 大 ,一旦 泄漏 ， 
带 来 的 损失 也 越 大 (涉及 更 多 文件 、 信 息 、 合 同等 )， 由 于 使 用 期 长 ， 用 同一 密 钥 加 密 的 
材料 就 越 多 ， 因 而 更 容易 被 分 析 破 译 。 

策略 : 不 同 的 密 钥 有 不 同 的 有 效 期 。@ 短 期 密 钥 (Short Term Keys〉 如 会 话 密 钥 ， 
使 用 期 较 短 ， 具 体 期 限 由 数据 的 价值 、 给 定 周期 内 加 密 数 据 的 量 来 确定 。 如 Gb/s 的 信道 
密 钥 要 比 9600b/s Modem 线路 的 密 钥 更 换 得 更 频繁 ， 一 般 会 话 密 钥 至 少 一 天 换 一 次 。 
@ 密 钥 加 密 密 钥 属 于 长 期 性 密 钥 (Long Term Keys)， 不 需要 经 常 更 换 ， 因 为 用 其 加 密 的 
数据 很 少 ， 但 它 很 重要 ， 一 旦 丢失 或 泄漏 ， 影 响 极 大 。 这 种 密 钥 一 般 一 个 月 或 一 年 更 换 
一 次 。@ 用 于 加 密 数 据 文件 或 存储 数据 的 密 钥 不 能 经 常 更 换 ， 因 为 文件 可 能 在 硬盘 中 存 
储 数 月 或 数 年 才 会 再 被 访问 ， 若 每 天 更 换 新 密 钥 ， 就 得 将 其 调 出 解密 而 后 再 以 新 密 钥 加 
密 ， 这 不 会 带 来 太 多 好 处 ， 因 为 文件 将 多 次 以 明文 形式 出 现 ， 给 攻击 者 更 多 的 机 会 。 文 
件 加 密 密 钥 的 主 密 钥 应 保管 好 。 外 公 钥 密码 的 密 钥 ， 它 的 使 用 期 限 由 具体 应 用 来 确定 。 
用 于 签名 和 身份 验证 的 密 钥 的 期 限 可 能 以 年 计 〈 甚 至 终生 )， 但 一 般 只 用 一 两 年 。 过 期 的 
密 钥 还 要 保留 ， 以 备 证 实时 使 用 。 


10.8.3 ” 密 钥 销毁 
不 用 的 旧 密 钥 必 须 销毁 ， 否 则 可 能 造成 损害 。 别 人 可 利用 旧 密 钥 来 读 原来 曾 用 它 加 
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密 的 文件 ， 或 者 用 它 来 分 析 密 码 体制 。 密 钥 必 须 安全 地 销毁 ， 例 如 ， 可 采用 高 质量 碎 纸 
机 处 理 记录 密 钥 的 纸张 ， 使 攻击 者 不 可 能 通过 收集 旧 纸 片 来 寻求 有 关 秘密 信息 。 对 于 硬 
盘 、EEPROM 中 的 存储 数据 ， 要 进行 多 次 重 写 。 

潜在 的 问题 : 存 于 计算 机 中 的 密 钥 ， 很 容易 被 多 次 复制 并 存储 于 计算 机 硬盘 中 的 不 
同位 置 。 采 用 防 窜 改 器 件 能 自动 销毁 存储 在 其 中 的 密 钥 。 


409 ” 密 钥 控制 





密 钥 控 制 是 对 密 钥 的 使 用 进行 限制 ， 以 保证 按 预定 的 方式 使 用 密 钥 。 可 以 赋予 密 钥 
的 控制 信息 有 : 密 钥 的 主权 人 、 密 钥 的 合法 使 用 期 限 、 密 钥 的 识别 符 、 预 定 的 用 途 、 限 
定 的 算法 、 预 定 使 用 的 系统 或 环境 或 密 钥 的 授权 用 户 、 与 密 钥 注册 和 证 书 有 关 的 实体 名 
字 、 密 钥 的 完整 性 校 验 〈 作 为 密 钥 真实 性 的 组 成 部 分 )。 

为 了 密码 的 安全 , 避免 一 个 密 钥 有 多 种 应 用 , 这 就 需要 对 密 钥 实施 隔离 (separation )， 
做 物理 上 的 10.10 节 中 密 钥 控制 或 密码 技术 上 的 保护 ， 以 限制 密 钥 的 授权 使 用 。 密 钥 标 
签 (tags)、 密 钥 变形 〈varionts)、 密 钥 公 证 (Cnortarization)、 控 制 矢 量 (control vectors) 
等 ， 都 是 为 了 对 密 钥 进 行 隔离 所 附加 的 控制 信息 的 方式 。 

单 钥 体制 中 的 密 钥 控制 技术 : 

(1) 密 钥 标签 。 它 以 标记 方式 限定 密 钥 的 用 途 ， 如 数据 加 密 密 钥 、 密 钥 加 密 密 钥 等 。 
它 由 比特 矢量 或 数据 段 实 现 ， 其 中 还 标 有 使 用 期 限 等 。 一 般 标签 都 以 加 密 形 式 附 在 密 铀 
之 后 ， 仅 当 密 钥 解密 后 才 同 时 恢复 成 明文 。 标 签 数据 一 般 都 很 短 。 

(2) 密 钥 变形 。 从 一 个 基本 密 钥 或 衍生 (derivation) 密 钥 附 加 一 些 非 秘密 参 数 和 一 
个 非 秘密 函数 导出 不 同 的 密 钥 ， 称 所 得 的 这 种 密 钥 为 密 钥 变形 或 导出 Cderived) 密 钥 。 
所 用 函数 多 采用 单 向 函数 。 

(3) 密 钥 偏 移 〈Key Offsetting )。 一 个 密 钥 加 密 密 钥 在 每 次 使 用 后 都 要 根据 一 个 计数 
器 所 提供 的 增 量 进行 修正 ， 从 而 可 以 防止 重 放 攻 击 。 

(4) 密 钥 公证 。 这 是 一 种 通过 在 密 钥 关系 中 ， 将 参与 者 身份 以 显 式 方式 加 以 说 明 来 
防止 密 钥 代 换 的 技术 。 通 过 这 类 身份 对 密 钥 进行 认证 ， 并 修正 密 钥 加 密 密 钥 ， 使 得 只 有 
当 身 份 正确 时 才能 正确 地 恢复 出 受 保护 的 密 钥 。 这 种 方法 可 抗击 模仿 攻击 ， 因 而 也 可 称 
为 以 身份 密封 的 密 钥 。 在 所 有 密 钥 建立 协议 中 都 要 防止 密 钥 代 换 攻 击 。 公 证 要 求 适当 的 


供 隐 式 保护 。 
实现 中 可 用 一 个 可 信赖 服务 器 (公证 或 仲裁 或 一 个 共享 密 钥 的 参与 者 ， 它 由 密 钥 
加 密 密 钥 灵 ， 以 及 系统 赋予 发 方 和 收 方 唯一 性 的 i 和 构成 ， 以 下 式 表 示 : 
Exrean(Ks) 
收 方 必须 以 共享 秘密 钥 K 和 正确 的 i,j 次 序 才 可 能 恢复 出 密 钥 Ks。 在 有 第 三 方 参与 时 ， 
它 首先 要 对 参与 方 的 身份 进行 认证 ,然后 向 其 提供 只 有 这 些 参与 者 可 以 恢复 的 会 话 密 钥 ， 
公证 者 可 采用 密 钥 偏 移 技 术 ， 见 例 10-1。 
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例 10-1 采用 偏 移 技术 的 密 钥 公证 。 设 有 字 长 为 64b 的 分 组 码 ， 密 钥 为 640， 密 钥 
In AK =K, |K A 128b。N 为 64b 计数 器 ， 发 用 户 和 收 用 户 的 识别 符 分 别 为 
i=i, liJ = jll jee AIEA: 

K, = Ex, 6; r) OK, ON 
K, = Ex, o;, (ig) OK, ON 

其 中 , 为 计数 器 存 数 。 所 得 到 的 公证 密 钥 (Ki, K2) 可 作为 EDE 三 重 加 密 模 式 下 所 需 的 密 
钥 加 密 密 钥 。 称 上 述 Aile i J) = Ex, oi, iz) 和 (Kisij)=Exej (ir) 为 公证 密封 
(Notarized Seals)。 若 只 需要 64b 的 密 钥 时 ， 可 做 一 些 修正 ， 采 用 K, = Ka = 天 ， 计 算 上 
IÈ f= (Keij) h =K ij) HA MAC 32b 与 及 的 右边 32b 链接 成 64b IN, 而 后 计 
SES OK ON 作为 公证 密 钥 。 

(5) 控制 矢量 。 密 钥 公 证 可 看 做 是 一 种 建立 认证 的 密码 机 构 ， 控 制 矢 量 则 是 一 种 提 
供 控制 密 钥 使 用 的 方法 ， 是 一 种 将 密 钥 标签 与 密 钥 公证 机 构 的 思想 进行 组 合 的 产物 。 对 
每 个 密 钥 Ks 都 赋予 一 个 控制 矢量 C，C 是 一 个 数 但 用 于 定义 密 钥 的 授权 使 用 。 每 次 对 一 
个 Ks 加 密 之 前 先 对 天 BEAT WES, EN Ekec(Ks) 。 

密 钥 公证 可 以 通过 在 控制 矢量 的 数值 中 加 入 特定 的 身份 说 明 来 实现 ， 也 可 以 通过 在 
C 中 限定 主体 的 身份 ID, 和 密 钥 Ks 的 使 用 权限 ACG, j) (可 采用 接 入 控制 ) 等 技术 来 实现 。 
每 次 启用 密 钥 时 ， 都 需 输 入 控制 矢量 以 实施 对 密 钥 的 保护 ， 系 统 检验 控制 矢量 后 才 以 它 
和 密 钥 一 起 恢复 出 所 要 的 密 钥 K, 。 必 须 以 正确 的 控制 矢量 C 和 正确 的 密 钥 加 密 密 钥 组 
成 的 值 K@C 才能 恢复 出 Ks。 ， 这 可 以 防止 非 授权 接 入 密 钥 加 密 密 钥 Ko 

密 钥 的 安全 性 取决 于 正确 分 离 密 钥 的 使 用 以 及 可 信赖 的 系统 。 

“Pel Rat C 的 数据 长 度 超过 密 钥 Ks 的 长 度 时 ， 可 以 采用 适当 的 杂凑 函数 先 对 C 
进行 压缩 。 加 密 运 算 为 Bewa(Ks) 。 

另外 ， 如 果 附 加 上 唯一 性 和 时 间 性 限制 ， 如 序号 、 时 戳 、 一 次 性 Nonce 等 ， 可 以 抗 
重 放 攻 击 。 

有 关 密 钥 控制 技术 的 研究 可 参阅 相关 文献 [ISO8732 1987; ANSI X9.17 1985; Menezes 
等 1997]。 


1 和 多 个 管区 的 密 钥 管 理 











随 着 通信 网 间 的 互 连 ， 跨 区 、 跨 国 的 全 球 性 通信 网 已 经 形成 。 本 节 介绍 如 何 实现 多 
个 管区 之 间 的 密 钥 管理 。 

一 个 安全 区 〈Security Domain) 定义 为 在 一 个 管理 机 构 控 制 下 的 一 个 系统 或 子 系统 ， 
系统 中 的 每 个 实体 都 信赖 该 权威 管理 机 构 。 管 理 机 构 以 显 式 或 隐 式 方式 规定 所 管区 内 的 
安全 策略 ， 限 定 区 内 各 实体 的 共享 密 钥 或 通行 字 ， 用 以 在 实体 与 管理 机 构 之 间或 两 个 实 
体 之 间 建 立 一 个 安全 信道 ， 保 证 系统 内 的 认证 和 保密 通信 。 一 个 安全 区 可 以 是 一 个 更 大 
区 中 的 一 个 层次 。 
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令 分 属 两 个 不 同安 全 区 DA 和 Ds 的 实体 为 4 和 8B， 相应 的 可 信赖 机 构 分 别 为 TA 和 
Tso {RUE A 与 了 实施 可 靠 通信 的 要 求 ， 可 以 归结 如 下 : 

(1) 共享 对 称 密 钥 在 4 和 B 之 间 建 立 共享 密 钥 KAsp， 双 方 都 相信 只 有 他 们 知道 Kar 
(可 信赖 机 构 也 可 能 知道 )。 

(2) 共享 可 信赖 的 公 钥 。 对 一 个 或 更 多 个 共用 公 钥 的 信赖 可 以 作为 安全 区 之 间 的 信 
赖 桥梁 ， 彼 此 可 以 用 来 证 实 消 息 的 真实 性 ， 或 保证 彼此 之 间 传 送 消息 的 机 密 性 。 

这 两 种 方式 都 可 以 维系 TA 和 Ts 之 间 的 信赖 关系 。 有 了 这 种 关系 就 可 以 在 CA, TA)、 
(Ta, Te), (Tp, B) 之 间 建 立 起 安全 通信 信道 ， 从 而 提供 (4, B) 之 间 的 信赖 关系 ， 实 现 
安全 通信 。 

F TA 和 Ts 之 间 不 存在 信赖 关系 ,可 以 通过 他 们 共同 信赖 的 第 三 机 构 TC 作为 中 介 ， 
建立 相互 之 间 的 信赖 关系 。 这 是 一 种 信赖 关系 链 (Chain of Trust)。 下 面 介绍 两 种 具体 实 
现 方式 。 


1. 可 信赖 对 称 密 钥 (Trusted Symmetric Keys) 

可 信赖 的 共享 密 钥 可 以 通过 各 种 认证 的 密 钥 建立 技术 获得 。 步 骤 如 下 : 

(1) 4 向 TA 提 出 与 妃 共 享 密 钥 的 请 求 。 

(2) TA 和 Ts 间 建 立 短期 共享 密 钥 KAB。 

G) TA 和 Ts 分别 向 4 和 B 安全 可 靠 地 分 配 Kage 

(4) A H Kas FI B 进行 直接 的 保密 通信 。 

2. 可 信赖 公 钥 (Trusted Public Key) 

可 信赖 公 钥 可 以 在 已 有 的 信赖 关系 基础 上 通过 标准 的 数据 源 认 证 ， 如 数字 签名 或 消 
息 认 证 码 等 获得 。 步 骤 如 下 : 

(1) 4 向 TA 请 求 用 户 B 的 可 信赖 公开 钥 。 

(2) TA 从 Te 以 可 靠 方式 得 到 B 的 公开 钥 。 

G) TA 将 其 以 可 靠 方式 传送 给 4。 

(4) A 用 此 公 钥 和 B 进行 直接 的 保密 通信 。 

上 面 实现 的 是 一 种 信赖 的 转 递 (Transfer of Trust)。 这 种 转 递 还 可 以 通过 所 谓 的 跨 区 
证 书 (Cross Certificate) EÈ CA 证 书 (CA Certificate) 实现 。 这 种 证 书 由 一 个 证 书 机 构 (CA) 
创建 ， 由 另 一 个 CA 来 证 实 其 公 钥 。 例 如 ，Te 为 B 建立 一 个 证 书 Ce， 其 中 有 B 的 身份 
MIAH. Ta 制作 一 个 含有 Te 身份 和 其 公 钥 的 跨 区 证 书 ，4 有 Ta 的 可 信赖 的 签名 证 实 密 
钥 ， 则 4 就 可 以 信赖 Cs 中 的 B 的 公 钥 (或 Te 签署 的 任何 其 他 证 书 的 公 钥 )。 因 此 ， 用 
户 4 就 可 以 从 DA 域 的 机 构 Ta 获得 由 Te 签发 的 域 Ds 中 实体 的 公 钥 。 

各 种 可 信赖 模型 都 是 通过 对 证 书 链 中 每 个 证 书 的 证 实 所 提供 一 种 信赖 关系 。 在 跨 区 
情况 下 ， 一 旦 CAx 对 CAy 的 跨 区 公 钥 证 书证 实 后 ， 在 无 附加 条 件 时 ，CAx 就 将 这 种 对 
CAy 的 信赖 传递 给 证 书 链 可 以 到 达 的 所 有 实体 。 为 了 对 器 区 证 书 这 种 信赖 的 扩展 范围 加 
以 限制 ，CA 可 以 在 签署 证 书 中 附加 上 约束 条 件 ， 如 限定 证 书 链 的 长 度 或 限定 合法 区 的 
集 ， 这 些 都 可 由 证 书 策略 做 出 规定 。GSM，DECT，IS-54，Kerberos，PEM 和 SPX 系统 
都 涉及 多 安全 区 的 密 钥 管理 问题 ， 相 关内 容 可 参阅 相关 文献 [Kent 1993; Tardo et al 1991; 
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Vedder 1991; Menezes et al 1997]. 


oa 密 钥 管理 系统 





一 个 系统 中 的 密 钥 如 果 在 所 有 时 间 上 都 是 固定 不 变 的 ， 则 对 其 管理 最 为 简单 。 但 是 
任何 实际 系统 的 密 钥 都 有 一 定 的 保密 期 , 需要 及 时 更 新 , 这 就 使 密 钥 管 理 变 得 复杂 化 了 。 
例如 ， 密 钥 管理 中 心 的 证 书 机 构 要 维护 用 户 的 公 钥 的 注册 、 存 储 、 分 发 、 查 询 、 吊 销 、 更 
新 等 工作 。 这 些 工 作 又 要 依赖 于 认证 、 协 议 、 加 解密 、 签 名 、 时 鹤 、 证 书 、 可 信赖 的 第 三 
方 公证 、 通 信 等 技术 的 实现 。 密 钥 管 理 系 统 要 负责 密 钥 整 个 生存 期 (Life Cycle) 的 管理 。 

在 网 络 通信 环境 中 ， 信 使 只 适用 于 小 型 网 络 ， 而 分 层 法 可 用 于 中 等 规模 的 网 络 。 随 
着 网 络 规模 的 加 大 ， 所 需 的 密 钥 量 越 来 越 大 ， 手 工 式 管理 已 不 适用 ， 而 要 借助 于 计算 机 
实施 自动 化 管理 ， 由 一 个 密 钥 分 配 中 心 负责 管理 分 配 密 钥 的 工作 。 用 这 种 电子 分 配 密 钥 
的 方法 ， 成 本 较 低 、 速 度 快 ， 而 且 较 为 安全 ， 适 应 通信 网 发 展 的 需要 。 

图 10-17 是 密 钥 管理 系统 框图 ， 它 包括 密 钥 生 存 期 的 所 有 各 阶段 的 管理 工作 。 
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图 10-17 密 钥 管理 系统 框图 


密 钥 的 生存 期 有 4 个 阶段 ， 即 : @ 预 运行 阶段 ， 此 时 密 钥 尚 不 能 正常 使 用 ，@ 运 行 
阶段 ， 密 钥 可 正常 使 用 ，@ 后 运行 阶段 ， 密 钥 不 再 提供 正常 使 用 ， 但 为 了 特殊 目的 可 以 
在 脱 机 下 接 入 ; 四 报废 阶段 ， 将 有 关 被 吊销 密 钥 从 所 有 记录 中 删 去 ， 这 类 密 钥 不 可 能 
再 用 。 

密 钥 的 生存 期 的 4 个 阶段 中 共有 下 述 12 个 工作 步骤 : 

(1) 用 户 注册 。 这 是 使 一 个 实体 成 为 安全 区 内 的 一 个 授权 或 合法 成 员 的 技术 《一 次 
性 )。 注 册 过 程 包括 请 求 ， 以 安全 方式 (可 以 通过 个 人 交换 、 挂 号 函件 、 可 信赖 信使 等 ) 
建立 或 交换 初始 密 钥 材料 (如 共享 通行 字 或 PIN 等 )。 

(2) 用 户 初始 化 。 一 个 实体 要 初始 化 其 密码 应 用 的 工作 ， 如 装 入 并 初始 化 软 、 硬 件 ， 
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装 入 和 使 用 在 注册 时 得 到 的 密 钥 材料 。 

(3) 密 钥 生成 。 密 钥 的 生成 包括 对 密 钥 密码 特性 方面 的 测量 ， 以 保证 生成 密 钥 的 随 
机 性 和 不 可 预测 性 ， 以 及 生成 算法 或 软件 的 密码 上 的 安全 性 。 用 户 可 以 自己 生成 所 需 的 
密 铀 ， 也 可 以 从 可 信赖 中 心 或 密 钥 管理 中 心 申请 。 

(4) 密 钥 输入 。 将 密 钥 材料 装 入 一 个 实体 的 硬件 或 软件 中 的 方法 很 多 ， 如 手工 送 入 
通行 字 或 PIN、 磁盘 转 递 、 只 读 存 储 器 件 、IC 卡 或 其 他 手持 工具 〈 如 密 钥 枪 ) 等 。 初 始 
密 钥 材料 可 用 来 建立 安全 的 联机 会 话 ， 通 过 这 类 会 话 可 以 建立 会 话 〈 工 作 ) 密 钥 。 在 以 
后 的 更 新 过 程 中 ， 仍 然 可 以 用 这 种 方式 ， 以 新 的 密 钥 材 料 代 蔡 旧 的 密 钥 材料 。 当 然 ， 最 
理想 的 办 法 是 通过 安全 联机 更 新 技术 实现 。 

(5) 密 钥 注 册 。 和 密 钥 输入 有 关联 的 是 密 钥 材料 ， 可 以 由 注册 机 构 正式 地 记录 ， 并 注 
明 相 应 实体 的 唯一 性 标记 ， 如 姓名 等 。 这 对 于 实体 的 公 钥 尤为 重要 ， 常 由 证 书 机 构 制 定 公 
钥 证 书 来 实现 正式 注册 ， 并 通过 公 钥 本 或 数据 库 等 在 有 关 范 围 内 公布 ， 以 供 查 询 和 检索 。 

(6) 正常 使 用 。 利 用 密 钥 进 行 正常 的 密码 操作 在 一 定 控制 条 件 下 使 用 密 钥 )， 如 
加 /解密 、 签 名 等 。 双 钥 体 制 的 两 个 密 钥 可 能 有 不 同 的 使 用 期 。 例 如 ， 公 和 钥 可 能 已 过 期 不 
能 再 用 ， 但 密 钥 仍 可 继续 用 于 解密 。 

(7) 密 钥 备份 。 以 安全 方式 存储 密 钥 ， 用 于 密 钥 恢 复 。 备 份 可 看 做 是 密 钥 在 运行 阶 
段 内 的 短期 行为 。 

(8) 密 钥 更 新 。 在 密 钥 过 期 之 前 ， 以 新 的 密 钥 代 蔡 旧 的 密 钥 。 其 中 ， 包 括 密 钥 的 生 
成 、 密 钥 推导 ， 执 行 密 钥 交换 协议 或 与 证 书 机 构 的 可 信 第 三 方 进行 通信 等 。 

(9) 密 钥 档案 。 不 再 正常 使 用 的 密 钥 可 以 存 入 档案 中 并 通过 检索 查找 使 用 ， 用 于 解 
决 争执 。 这 是 密 钥 的 后 运行 阶段 的 工作 。 一 般 采 用 脱 机 方式 工作 。 

(10) 密 钥 注销 与 销毁 。 对 于 不 再 需要 的 密 钥 或 已 被 注销 〈 从 所 有 正式 记录 中 除名 ) 
用 户 的 密 铀 ， 要 将 其 所 有 副本 销毁 ， 使 其 不 能 再 出 现 。 

(11) 密 钥 恢 复 。 若 密 钥 丧 失 但 未 被 泄漏 〈 如 设备 故障 或 记 不 清 通行 字 )， 就 可 以 用 
安全 方式 从 密 钥 备 份 恢复 。 

(12) 密 钥 吊销 。 如 果 密 钥 丢 失 或 因 其 他 原因 在 密 钥 未 过 期 之 前 ,需要 将 其 从 正常 运 
行使 用 的 集合 中 除去 ， 即 密 钥 吊销 。 对 于 证 书 中 的 公 钥 ， 可 通过 吊销 公 钥 证 书 实现 对 公 
钥 的 吊销 。 

上 述 12 个 步骤 , 除 密 钥 恢 复 和 吊销 外 均 属 正常 工作 步骤 。 单 钥 体 制 的 密 钥 管理 要 比 
双 钥 体制 简单 些 ， 通 常 没 有 注册 、 备 份 、 吊 销 或 存档 等 。 但 一 个 大 系统 的 密 钥 管理 仍然 
是 一 项 十 分 复杂 的 任务 。 

整个 密 钥 管理 系统 也 需要 一 个 初始 化 过 程 ， 以 便 提 供 一 个 初始 化 安全 信道 有 选择 地 
支持 其 后 的 (长 期 和 短期 ) 工作 密 钥 的 自动 化 建立 。 初 始 化 是 一 种 非 密码 的 工作 (一 次 
TE), 将 密 钥 材料 由 管理 者 亲自 (由 可 信赖 信使 或 通过 其 他 可 信赖 信道 ) 装 入 系统 。 初 始 
化 阶段 密 钥 的 装 入 对 整个 密 钥 管理 系统 的 安全 至 关 重 要 ， 为 此 常常 需要 采用 双重 或 分 拆 
控制 ， 由 两 个 或 更 多 可 信赖 者 独立 地 实施 。 

有 关 密 钥 管 理 系统 的 研究 可 参阅 相关 文献 [SO/I[EC11770 1996a; ANSIX9.57 1995; 
ISO10202-7 1994; Menezes 等 1997]. 
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习 wm 
一 、 填 空 题 
1. 网 络 加 密 方式 有 4 种 ， 它 们 分 别 是 和 
2. 在 通信 网 的 数据 加 密 中 , 密 钥 可 分 为 š All 
3. 密 钥 分 配 的 基本 方法 有 和 等 。 
4. 在 网 络 中 ， 可 信 第 三 方 TTP 的 角色 可 以 由 
和 等 来 承担 (请 任意 举 出 4 个 例子 )。 
5. 按照 协议 的 功能 分 类 ， 密 码 协议 可 以 分 为 ‘ All 
6. Diffie-Hellman 密 钥 交 换 协议 不 能 抵抗 攻击 。 
7. Kerberos 提供 
A. 加 密 B. SSO 
C. 远程 登录 D. 本 地 登录 
8. 在 Kerberos 中 ， 人 允许 用 户 访问 不 同 应 用 程序 或 服务 器 的 服务 器 称 为 
A. AS B. TGT 
C. TGS D. 文件 服务 器 
9. 在 Kerberos 中 ， 与 系统 中 的 每 个 用 户 共享 唯一 一 个 口令 。 
A. AS B. TGT 
C. TGS D. 文件 服务 器 


. 网 络 加 密 有 哪儿 种 方式 ? 请 比较 它们 的 优 缺 点 。 

请 分 析 比 较 硬件 加 密 和 软件 加 密 的 优 缺 点 。 

. 密 钥 管理 包含 哪些 内 容 ? 密 钥 管理 需要 借助 于 哪些 密码 技术 来 完成 ? 

. 密 钥 有 哪些 种 类 ? 它们 各 自 的 用 途 是 什么 ? 请 简 述 它们 之 间 的 关系 。 
一 个 好 的 密 钥 应 该 具备 哪些 特性 ? 

. 在 实际 系统 中 ， 如 何 产 生 和 选择 好 的 密 钥 ? 

. 密 钥 分 配 的 基本 模式 有 哪些 ? 

. 密 钥 分 配 协议 有 哪些 种 类 ? 在 密 钥 交 换 时 为 什么 需要 进行 身份 认证 ? 

. 在 实际 工作 中 ， 有 哪些 密 钥 分 配 的 方法 ? 有 哪些 自动 分 发 密 钥 的 方法 ? 
10. 什么 是 隐 式 证 实 公 钥 系统 ? 它 可 以 分 为 哪儿 类 ? 

11. 在 密码 系统 中 ， 密 钥 是 如 何 进行 保护 、 存 储 和 备份 的 ? 

12. 在 实际 系统 中 ， 如 何 对 密 钥 进行 控制 ? 单 钥 体制 中 的 密 钥 控制 技术 有 哪些 ? 
13. 密 钥 如 何 撤销 和 销毁 ? 
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无 线 网 络 安全 


自从 意大利 人 马 可 尼 在 1896 年 申请 了 第 一 个 无 线 电 报 专利 以 来 , 无 线 技术 已 经 彻底 
地 改变 了 人 们 接收 信息 的 方式 。 从 最 早 的 收音 机 到 现在 的 手机 、 无 线 网 络 设备 ， 无 线 通 
信 得 到 了 长 足 发 展 ， 也 催生 了 一 系列 的 产品 和 服务 。 

无 线 技术 与 网 络 技术 的 融合 提供 了 即时 通信 、 永 和 久 在 线 的 可 能 性 ， 预 示 着 另 一 场 计 
算 革命 的 到 来 ， 它 的 发 展 前 景 似乎 是 无 限 的 。 然 而 ， 作 为 一 种 新 的 技术 ， 新 的 标准 层 出 
不 穷 ， 大 家 都 想 尽快 出 发 ， 却 没有 把 安全 放 在 根本 的 位 置 上 。 无 线 通 信 与 生 俱 来 就 会 受 
到 各 种 安全 威胁 : 数据 被 窍 听 、 被 算 改 、 隐 私 被 侵犯 。 如 果 安 全 威胁 不 能 得 到 防御 ， 无 
线 网 络 的 发 展 将 受到 阻碍 。 值 得 庆幸 的 是 ， 这 种 需求 正在 得 到 重视 ，WTLSP 和 802.1X 
等 标准 正在 逐步 得 到 完善 。 

本 章 旨 在 对 现在 的 无 线 网 络 安全 技术 做 总 结 ， 主 要 介绍 如 下 内 容 : 

e 无 线 网 络 面临 的 安全 威胁 。 

e 无 线 网 络 的 安全 协议 分 析 。 

e 无 线 网 络 安全 的 解决 方案 。 

无 线 网 络 是 前 沿 技术 ， 不 幸 的 是 ， 前 沿 意味 着 各 种 概念 的 夹杂 ， 造 成 了 混乱 。 现 代 
媒体 充斥 着 各 种 缩 略 语 , 如 CDMA, GSM, TDMA, 802.11, WAP, 3G, GPRS 和 Bluetooth 
等 。 实 际 上 无 线 网 络 技术 分 为 无 线 蜂窝 网 络 技术 和 无 线 数据 网 络 技术 两 类 。 


行 1 无线 网 络 面临 的 安全 威胁 








1. 窃听 

无 线 网 络 易 遭 受 匿名 黑客 的 攻击 ， 攻 击 者 可 以 截获 无 线 电 信号 并 解析 出 数据 。 用 于 
无 线 窃听 的 设备 与 用 于 无 线 网 络 接 入 的 设备 相同 ， 这 些 设 备 经 过 很 小 的 改动 就 可 以 被 设 
置 成 截获 特定 无 线 信道 或 频率 的 数据 的 设备 。 这 种 攻击 行为 几乎 不 可 能 被 检测 到 。 通 过 
使 用 天 线 ， 攻 击 者 可 以 在 距离 目标 很 远 的 地 方 进行 攻击 。 窃 听 主 要 用 于 收集 目标 网 络 的 
信息 ， 包 括 谁 在 使 用 网 络 、 能 访问 什么 信息 及 网 络 设 备 的 性 能 等 。 很 多 常用 协议 通过 明 
文 传送 用 户 名 和 密码 等 敏感 信息 ， 使 攻击 者 可 以 通过 截获 数据 获得 对 网 络 资源 的 访问 。 
即使 通信 被 加 密 ， 攻 击 者 仍 可 以 收集 加 密 信息 用 于 以 后 的 分 析 。 很 多 加 密 算法 〈 如 微软 
的 NTLM) 很 容易 被 破解 。 如 果 攻 击 者 可 以 连接 到 无 线 网 络 上 ,他 还 可 以 使 用 ARP 欺骗 
进行 主动 窃听 。ARP 欺骗 实际 上 是 一 种 作用 在 数据 链 路 层 的 中 间 人 攻击 ， 攻 击 者 通过 给 
目标 主机 发 送 欺 骗 ARP 数据 包 来 旁 路 通信 。 当 攻击 者 收 到 目标 主机 的 数据 后 ， 再 将 它 转 
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发 给 真正 的 目标 主机 。 这 样 , 攻击 者 可 以 窃听 无 线 网 络 或 有 线 网 络 中 主机 间 的 通信 数据 。 


2. 通信 阻 断 

有 意 或 无 意 的 干扰 源 可 以 阻 断 通 信 。 对 整个 网 络 进行 Dos 攻击 可 以 造成 通信 阻 断 ， 
使 包括 客户 端 和 基站 在 内 的 整个 区 域 的 通信 线路 堵塞 ， 造 成 设备 之 间 不 能 正常 通信 。 针 
对 无 线 网 络 的 Dos 攻击 则 很 难 预防 。 此 外 ， 大 部 分 无 线 网 络 通信 都 采用 公共 频段 ， 很 容 
易 受 到 来 自 其 他 设备 的 干扰 。 攻 击 者 可 以 采用 客户 端 阻 断 和 基站 阻 断 方 式 来 阻 断 通信 。 
攻击 者 可 能 通过 客户 端 阻 断 占用 或 假冒 被 阻 断 的 客户 端 ， 也 可 能 只 是 对 客户 端 发 动 DoS 
攻击 ; 攻击 者 可 能 通过 基站 阻 断 假冒 被 阻 断 的 基站 。 如 前 所 述 ， 有 很 多 设备 如 无 绳 电 
话 、 无 线 集群 设备 ) 都 采用 公共 频段 进行 通信 ， 它 们 都 可 以 对 无 线 网 络 形成 干扰 。 所 以 ， 
在 部 署 无 线 网 络 前 ， 电 信和 运营 商 一 定 要 进行 站 点 调查 ， 以 验证 现 有 设备 不 会 对 无 线 网 络 
形成 干扰 。 


3. 数据 的 注入 和 自 改 

黑客 通过 向 已 有 连接 中 注入 数据 来 截获 连接 或 发 送 恶 意 数据 和 命令 。 攻 击 者 能 够 通 
过 向 基站 插入 数据 或 命令 来 算 改 控制 信息 ， 造 成 用 户 连接 中 断 。 数 据 注 入 可 被 用 做 DoS 
攻击 。 攻 击 者 可 以 向 网 络 接 入 点 发 送 大 量 连接 请 求 包 ， 使 接 入 点 用 户 连接 数 超标 ， 以 此 
造成 接 入 点 拒绝 合法 用 户 的 访问 。 如 果 上 层 协 议 没有 提供 实时 数据 完整 性 检测 ， 在 连接 
中 注入 数据 也 是 可 能 的 。 


4. 中 间 人 攻击 

中 间 人 攻击 与 数据 注入 攻击 类 似 ， 所 不 同 的 是 它 可 以 采取 多 种 形式 ， 主 要 是 为 了 破 
坏 会 话 的 机 密 性 和 完整 性 。 中 间 人 攻击 比 大 多 数 攻击 更 复杂 ， 攻 击 者 需要 对 网 络 有 深入 
的 了 解 。 攻 击 者 通常 伪装 成 网 络 资源 ， 当 受害 者 开始 建立 连接 时 ， 攻 击 者 会 截取 连接 ， 
并 与 目的 端 建立 连接 ， 同 时 将 所 有 通信 经 攻击 主机 代理 到 目的 端 。 这 时 ， 攻 击 者 就 可 以 
注入 数据 、 修 改 通信 数据 或 进行 窃听 攻击 。 


5. 客户 端 伪装 

通过 对 客户 端的 研究 ， 攻 击 者 可 以 模仿 或 克隆 客户 端的 身份 信息 ， 以 试图 获得 对 网 
络 或 服务 的 访问 。 攻 击 者 也 可 以 通过 窃取 的 访问 设备 来 访问 网 络 。 要 保证 所 有 设备 的 物 
理 安全 非常 困难 ， 当 攻击 者 通过 窃取 的 设备 发 起 攻击 时 ， 通 过 第 2 层 访问 控制 手段 来 限 
制 对 资源 的 访问 (如 蜂窝 网 采用 的 通过 电子 序列 码 或 WLAN 采用 的 MAC 地 址 验证 等 手 
段 ) 都 将 失去 作用 。 

6. 接 入 点 伪装 

高 超 的 攻击 者 可 以 伪装 接 入 点 。 客 户 端 可 能 在 未 察觉 的 情况 下 连接 到 该 接 入 点 ， 并 
泄漏 机 密 认证 信息 。 这 种 攻击 方式 可 以 与 上 面 描述 的 接 入 点 通信 阻 断 攻击 方式 结合 起 来 
使 用 。 


7. 匿名 攻击 
攻击 者 可 以 隐藏 在 无 线 网 络 覆 盖 的 任何 角落 ， 并 保持 匿名 状态 ， 这 使 定位 和 犯罪 调 
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查 变 得 异常 困难 。 一 种 常见 的 匿名 攻击 称 为 沿街 扫描 (War Driving)， 指 攻击 者 在 特定 的 
区 域 扫描 并 寻找 开放 的 无 线 网 络 。 这 个 名 称 来 自 一 种 古老 的 拨号 攻击 方式 一 一 沿街 扫描 ， 
即 通过 拨打 不 同 的 电话 号 码 来 查找 Modem 或 其 他 网 络 入 口 。 值 得 注意 的 是 ， 许 多 攻击 
者 发 动 匿名 攻击 不 是 为 了 攻击 无 线 网 络 本 身 ， 只 是 为 了 找到 接 入 Internet 并 攻击 其 他 机 
器 的 跳板 。 因 此 ， 随 着 匿名 接 入 者 的 增多 ， 针 对 Internet 的 攻击 也 会 增加 。 


8. 客户 端 对 客户 端的 攻击 

在 无 线 网 络 上 ， 一 个 客户 端 可 以 对 另 一 客户 端 进行 攻击 。 没 有 部 署 个 人 防火 墙 或 进 
行 加 固 的 客户 端 如 果 受 到 攻击 ， 很 可 能 会 泄漏 用 户 名 和 密码 等 机 密 信 息 。 攻 击 者 可 以 利 
用 这 些 信息 获得 对 其 他 网 络 资源 的 访问 权限 。 在 对 等 模式 下 ， 攻 击 者 可 以 通过 发 送 伪造 
路 由 协议 报 文 以 产生 通路 循环 来 实施 拒绝 服务 攻击 ， 或 者 通过 发 送 伪造 路 由 协议 报 文生 
成 黑洞 (吸收 和 扔 掉 数据 报 文 ) 来 实现 各 种 形式 的 攻击 。 


9. 隐匿 无 线 信道 

网 络 的 部 署 者 在 设计 和 评估 网 络 时 ， 需 要 考虑 隐匿 无 线 信道 的 问题 。 由 于 硬件 无 线 
接 入 点 的 价格 逐渐 降低 ， 以 及 可 以 通过 在 装 有 无 线 网 卡 的 机 器 上 安装 软件 来 实现 无 线 接 
入 点 的 功能 ， 隐 匿 无 线 信道 的 问题 日 趋 严 重 。 网 络 管理 员 应 该 及 时 检查 网 络 上 存在 的 一 
些 设置 有 问题 或 非法 部 署 的 无 线 网 络 设备 。 这 些 设 备 可 以 在 有 线 网 络 上 制造 黑客 入 侵 的 
后 门 ， 使 攻击 者 可 以 在 离 网 络 很 远 的 地 点 实施 攻击 。 


10. 服务 区 标志 符 的 安全 问题 

服务 区 标志 符 (SSID) 是 无 线 接 入 点 用 于 标识 本 地 无 线 子 网 的 标志 符 。 如 果 一 个 客 
户 端 不 知道 服务 区 标志 符 ， 接 入 点 会 拒绝 该 客户 端 对 本 地 子 网 的 访问 。 当 客户 端 连 接 到 
接 入 点 上 时 ， 服 务 区 标志 符 的 作用 相当 于 一 个 简单 的 口令 ， 起 到 一 定 的 安全 防护 作用 。 
如 果 接 入 点 被 设置 成 对 SSID 进行 广播 ， 那 么 所 有 的 客户 端 都 可 以 接收 到 它 并 用 其 访问 
无 线 网 络 。 而且, 很 多 接 入 点 都 采用 出 厂 时 默认 设置 的 SSID 值 , 黑客 很 容易 通过 Internet 
查 到 这 些 默 认 值 。 黑 客 获取 这 些 SSID 值 后 ， 就 可 以 对 网 络 实施 攻击 。 因 此 ，SSID 不 能 
作为 保障 安全 的 主要 手段 。 


11. 漫游 造成 的 问题 

无 线 网 络 与 有 线 网 络 的 主要 区 别 在 于 无 线 终端 的 移动 性 。 在 CDMA. GSM 和 无 线 
以 太 网 中 ， 漫 游 机 制 都 是 相似 的 。 很 多 TCP/IP 服务 都 要 求 客户 端 和 服务 器 的 IP 地 址 保 
持 不 变 , 但 是 ， 当 用 户 在 网 络 中 移动 时 , 不 可 避免 地 会 离开 一 个 子 网 而 加 入 男 一 个 子 网 ， 
这 就 要 求 无 线 网 络 提供 漫游 机 制 。 移动 IP 的 基本 原理 在 于 地 点 注册 和 报 文 转发 ,一 个 与 
地 点 无 关 的 地 址 用 于 保持 TCP/IP 连接 , 而 另 一 个 随地 点 变化 的 临时 地 址 用 于 访问 本 地 网 
络 资源 。 在 移动 IP 系统 中 ， 当 一 个 移动 节点 漫游 到 一 个 网 络 时 ， 就 会 获得 一 个 与 地 点 有 
关 的 临时 地 址 ， 并 注册 到 外 地 代理 上 ; 外 地 代理 会 与 所 属地 代理 联系 ， 通 知 所 属地 代理 
有 关 移 动 节点 的 接 入 情况 。 所 属地 代理 将 所 有 发 往 移 动 节点 的 数据 包 转 发 到 外 地 代理 上 。 
这 种 机 制 会 带 来 一 些 问题 : 首先， 攻击 者 可 以 通过 对 注册 过 程 的 重 放 来 获取 发 送 到 移动 
节点 的 数据 其次， 攻击 者 也 可 以 模拟 移动 节点 以 非法 获取 网 络 资源 。 
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_ i2 _ 无线 蜂窝 网 络 的 安全 性 


11.2.1 GSM 的 安全 性 


1. GSM 网 络 体系 结构 

如 图 11-1 所 示 ，GSM 网 络 体系 结构 一 共 由 8 部 分 组 成 ， 各 部 分 的 功能 如 下 : 

(1) 带 有 SIM (Subscriber Identity Module) 卡 的 移动 设备 。SIM 卡 是 具有 32~64KB 
EEPROM 存储 空间 的 微 处 理智 能 卡 。SIM 卡 上 存储 了 各 种 机 密 信息 ， 包 括 持 卡 人 的 身份 
信息 及 加 密 和 认证 算法 等 。 

(2) 基站 收发 信人 台 BTS)。 基 站 收发 信人 台 负 责 移动 设备 与 无 线 网 络 之 间 的 连接 。 每 
个 蜂窝 站 点 有 一 个 基站 收发 信人 台 。 

G) 基站 控制 器 (BSC)。 基 站 控制 器 管理 着 多 个 基站 收发 信 台 。 它 的 主要 功能 是 频 
率 分 配 和 管理 , 同时 在 移动 用 户 从 一 个 蜂窝 站 点 移动 到 另 一 个 蜂窝 站 点 时 处 理 交 接 工 作 。 
基站 收发 信 台 和 基站 控制 器 组 成 了 基站 子 系统 (BSS). 

(4) 移动 交换 中 心 (MSC)。 移 动 交 换 中 心 管理 着 多 个 基站 控制 器 ， 同 时 它 还 提供 
到 有 线 电信 网 络 的 连接 。MSC 管理 着 移动 用 户 与 有 线 网 络 的 通信 ， 同 时 它 还 负责 不 同 
BSC 之 间 的 交接 工作 。 

(5) 认证 中 心 (AuC)。 认 证 中 心 对 SIM 卡 进行 认证 。 

(6) 归属 位 置 登记 数据 库 (HLR)。HLR 是 在 归属 网 络 上 用 来 存储 和 跟踪 接 入 者 信 
息 的 数据 库 ， 保 存 了 用 户 登记 信息 和 移动 设备 信息 ， 如 国际 移动 用 户 身 份 证 明 (IMSI) 
和 移动 用 户 ISDN (MSISDN) 等 。 根 据 用 户 的 数量 ， 一 个 单独 的 GSM 运营 商 可 能 有 多 
个 不 同 的 HLR。 








| | ON 归属 位 置 
自 | ! 和 动 交换 中 心 \\ FENI 
移动 设备 i 基站 收发 信 台 | i 
| | | 访问 位 置 
to eeu } too ARARE | 
无 线 基站 子 系统 网 络 交 换 子 系统 


图 11-1 GSM 网 络 体 系 结构 
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(7) 访问 位 置 登记 数据 库 (VLR)。VLR 是 用 于 跟踪 漫游 到 归属 位 置 以 外 的 用 户 信 
息 的 数据 库 ，VLR 也 会 保存 漫游 用 户 的 IMSI 和 MSISDN 信息 。 当 用 户 漫游 时 ，VLR 会 
跟踪 该 用 户 并 把 电话 转 接 到 该 用 户 的 手机 上 。 

(8) 运营 中 心 COMC). OMC 负责 整个 GSM 网 络 的 管理 和 性 能 维护 。OMC 与 BSS 
All MSC 通信 ， 通 常 通过 X.25 网 络 连接 。 


2. GSM 的 安全 性 

GSM 的 安全 基于 对 称 密 钥 的 加 密 体系 。GSM 主要 使 用 了 3 种 加 密 算法 : 

A) A3: 一 种 用 于 移动 设备 到 GSM 网 络 认证 的 算法 。 

(2) AS/1 或 者 A5/2: 用 于 认证 成 功 后 加 密语 音 和 数据 的 分 组 加 密 算法 。A5/1 主要 
于 西欧 ，A5/2 主要 用 于 其 他 一 些 地 区 。 

G) A8: 一 种 用 于 产生 对 称 密 钥 的 密 钥 生成 算法 。 

A3 和 A8 通常 被 称 为 COMP128。 

GSM 采用 的 加 密 算法 由 GSM 成 员 国 开发 , 并 没有 经 第 三 方 检查 或 分 析 。 由 于 GSM 
采取 了 一 种 机 密 的 检查 机 制 ， 算 法 本 身 的 强度 引起 了 多 方 质疑 。 最 早 的 安全 架构 创建 于 
20 世纪 90 年 代 ， 那 时 ，64b 的 密 钥 长 度 已 足够 。 但 是 随 着 计算 能 力 的 提高 ，64b 的 密 钥 
已 经 越 来 越 无 法 抵御 强力 攻击 。 

GSM 安全 架构 中 的 第 一 步 是 认证 : 确认 一 个 用 户 和 他 的 移动 设备 是 经 过 授权 而 访问 
GSM 网 络 的 。 因 为 SIM 卡 和 移动 网 络 具有 相同 的 加 密 算法 和 对 称 密 铀 ， 二 者 之 间 可 以 
据 此 建立 信任 关系 。 在 安全 的 移动 设备 中 ， 这 些 信息 存储 在 SIM 卡 中 。 

SIM 中 的 信息 由 运营 商定 制 ， 包 括 加 密 算法 、 密 钥 、 协 议 等 ， 通 过 零售 商 分 发 到 用 
户 手中 。 有 两 种 SIM E, 一 种 是 只 有 3KB AE: 另 一 种 有 8KB 内 存 ， 可 以 存储 短 消息 。 

新 购买 的 SIM 卡 中 有 如 下 信息 : 

(1) 移动 用 户 身份 标识 〈IMSI)， 相 当 于 一 串 电子 注册 码 。 

(2) 单个 用 户 认证 密 钥 〈K, )，128b K. 

(3) A3 和 Ag 算法 。 

(4) 用 户 PIN 码 。 

(5) PIN 解锁 码 (PUK)， 只 有 用 户 在 忘记 PIN 码 时 才 需 要 使 用 。 

根据 运营 商 提供 的 服务 内 容 , 用 户 还 可 以 在 SIM 卡 里 存储 电话 号 码 和 短 消 息 。MSC 
也 保存 着 A3，A5 和 A8 算法 的 副本 ， 通 常 是 存储 在 硬件 设备 里 。 

3. GSM 认证 过 程 
于 IMSI 是 独一无二 的 ,攻击 者 能 够 用 它 来 非法 克隆 SIM 卡 , 所 以 应 尽量 减少 IMSI 
在 电波 中 传播 的 次 数 。IMSI 仅 在 初次 接 入 或 VLR 中 的 数据 丢失 时 使 用 。 在 认证 时 ， 采 
用 临时 用 户 身份 标识 〈TMSI) 来 代替 IMSI。 

当 一 个 手机 用 户 开始 拨打 电话 时 ，GSM 网 络 的 VLR 会 认证 用 户 的 身份 。VLR 会 立 
刻 与 HLR 建立 联系 ，HLR 从 AuC 获取 用 户 信息 。 这 些 信息 会 转发 到 VLR 上 ，GSM 认 
证 与 加 密 过 程 如 图 11-2 所 示 ， 下 面 的 过 程 随 之 开始 : 









































300 


ms 第 1] 章 无 线 网 络 安全 mw 


(1) AuC 产生 一 个 128bit 的 随机 数 或 询问 数 (RAND); 

(2) AuC 使 用 A3 算法 和 密 钥 K; 将 RAND 加 密 ， 产 生 一 个 32bit 的 签名 回应 
(SRES' ); 同时 ，AuC 通过 A8 算法 计算 Kes 

(3) AuC 将 认证 三 元 组 参数 (RAND, SRES' , K.) 发 给 VLR; 

(4) VLR 存储 三 元 组 参数 ， 并 将 随机 数 RAND 经 由 基站 发 给 手机 ; 

(5) 手机 收 到 RAND 后 ， 因 为 SIM 卡 中 存 有 K; 和 A3 算法 ， 它 计算 出 回应 值 SRES; 

(6) 手机 将 SRES 传输 到 基站 ， 基 站 转发 到 VLR; 

(7) VLR 将 收 到 的 SRES 值 与 存储 的 SRES' 值 对 照 ， 

(8) 如 果 SRES=SRES’, ， 则 认证 成 功 ， 用 户 可 以 使 用 网 络 ; 

(9) 如 果 SRESASRES’, ， 则 连接 中 止 ， 错 误 信息 报告 到 手机 上 。 

这 个 简单 过 程 有 以 下 两 点 好 处 : 

(1) Ki 始终 保持 在 本 地 。 认 证 密 钥 是 整个 认证 过 程 中 最 重要 的 元 素 ， 确 保 认 证 密 钥 
的 安全 尤为 关键 。 在 上 面 的 认证 模型 当中 ，K; 始终 不 通过 空中 传播 ， 这 样 就 不 会 被 中 途 
截取 。Ki; 只 保存 在 SIM 卡 、AuC、HLR 和 VLR 数据 库 中 ，SIM 卡 也 是 防 算 改 的 ， 网 络 
管理 员 可 以 通过 限制 对 这 些 数 据 库 的 访问 使 K; 被 暴露 的 威胁 最 小 化 。 

(2) 防 强力 攻击 。 一 个 128b 的 随机 数 意 味 着 3.4x10” 种 可 能 组 合 。 即 使 一 个 黑客 知 
道 A3 算法 ， 猜 出 有 效 的 RAND/SRES 的 可 能 性 也 非常 小 。 


微波 链 路 
移动 设备 空中 接口 访问 网 络 /VLR (未 加 密 ) HLR/AuC 


SIM 卡 临时 身份 TMSI-IMSI] | 提供 认证 信息 
侦 听 TMSI 映射 IMSI RAND K, 































































































K, RAND] ”挑战 值 | 
RAND ie A3+A8 
认证 信 
A3 存储 RAND,SRES', Ke | | 
SRES' 
| 认证 响应 wi NO 
SRES YY | 
N YES| [STOP 
1 加 密 模式 开启 
AS | | 
K 开始 加 密 Ke 
| ets 密 
A py} -| -Ca 









































图 11-2 GSM 认证 与 加 密 过 程 
4. GSM 的 保密 性 
在 成 功 的 认证 后 ，GSM 网 络 和 手机 会 完成 加 密 信 道 的 建立 过 程 。 首 先 需 要 产生 一 个 
加 密 密 钥 ， 然 后 该 加 密 密 钥 被 用 来 加 密 整个 通信 过 程 。 加 密 连 接 建立 的 具体 过 程 如 下 : 
(1) SIM 卡 将 RAND 与 Ki 结合 在 一 起 ,通过 Ag 算法 生成 一 个 64b 的 会 话 密 钥 K。 o 
(2) GSM 网 络 也 采用 相同 的 RAND 和 K; 计 算出 相同 的 会 话 密 钥 K.。 
(3) 通信 双方 采用 天。 与 AS 算法 ， 对 手机 与 GSM 网 络 之 间 的 通信 数据 进行 加 密 。 
会 话 密 钥 也 可 重复 使 有 用， 这样 会 提高 网 络 的 性 能 并 减 小 因 加 密 而 产生 的 延迟 。 最 后 
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的 步骤 中 包含 用 户 的 身份 信息 ， 这 是 实时 记 账 所 必需 的 。 从 上 面 的 过 程 中 可 以 看 出 ， 用 
户 认证 通过 KA IMSI 两 个 值 来 实现 。 因 此 ， 必 须 确保 这 两 个 值 不 被 泄漏 。 

5. GSM 的 安全 缺陷 

在 GSM 网 络 中 ， 主 叫 用 户 和 被 叫 用 户 通信 时 信号 所 经 由 的 链 路 如 图 11-3 所 示 。 从 
图 中 可 以 看 出 ， 除 无 线 链 路 被 加 密 之 外 ， 基 站 到 移动 交换 中 心 的 微波 连接 和 骨干 网 传输 
线路 并 未 加 密 。 归 纳 起 来 ，GSM 的 安全 缺陷 有 以 下 几 点 。 

(1) GSM 标准 仅 考虑 了 移动 设备 与 基站 之 间 的 安全 问题 ， 而 基站 和 基站 之 间 没 有 设 
置 任何 加 密 措施 ， 因 此 K. 和 SRES 在 网 络 中 以 明文 传输 ， 给 黑客 窍 听 带 来 了 便利 。 

(2) K 的 长 度 是 128b， 黑 客 截 取 RAND 和 SRES 后 很 容易 破译 K, MiK, 一 般 固 定 
不 变 ， 使 SIM 卡 的 复制 成 为 可 能 。 

G) 单 向 身份 认证 ， 网 络 认 证 用 户 ， 但 用 户 不 认证 网 络 ， 无 法 防止 伪造 基站 和 HLR 
的 攻击 。 

(4) 缺乏 数据 完整 性 认证 。 

(5) 当 用 户 从 一 个 蜂窝 小 区 进入 另 一 个 蜂窝 小 区 进行 漫游 时 ， 存 在 跨 区 切换 。 在 跨 
区 切换 的 过 程 中 ， 有 可 能 泄漏 用 户 的 秘密 信息 。 

(6) 用 户 无 法 选择 安全 级 别 。 


射频 信号 


主 叫 设备 (加 密 ) ”基站 收发 信 台 固定 网 络 






































主 叫 设备 所 在 域 

被 叫 设备 所 在 域 网 关 

Jaia 固定 网 络 数据 库 
a nans (未 加 密 ) 


被 叫 设备 (加 密 ) ”基站 收发 信 台 
图 11-3 未 经 加 密 的 内 部 链 路 


11.2.2 CDMA 的 安全 性 


CDMA 网 络 的 安全 性 同样 也 建立 在 对 称 密 钥 体 系 架构 上 。 除 了 CDMA 用 防 算 改 的 UIM 
(User Identity Module) 卡 代 替 了 GSM 的 SIM 卡 外 ， 其 保密 与 认证 架构 大 致 与 GSM 相同 。 

CDMA 手机 使 用 64b 的 对 称 密 钥 〈 称 为 A-Key) 来 进行 认证 。 在 出 售 时 ， 这 个 密 钥 
被 用 程序 输入 到 手机 的 UIM FA, 同时 也 由 运营 商 保存 。 手 机 内 的 软件 算出 一 个 校 验 值 ， 
以 确保 A-Key 被 正确 地 输入 到 UIM 卡 中 。 


1. CDMA 认证 
当 用 手机 打 电 话 时 ，CDMA 网 络 的 VLR 对 用 户 进行 认证 。CDMA 网 络 使 用 一 种 称 
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为 蜂窝 认证 和 语音 加 密 (CAVE) 的 算法 。 

为 了 最 小 化 A-Key 被 截取 的 风险 ， CDMA 手机 采用 一 种 基于 A-Key 的 动态 生成 数 
来 进行 认证 。 该 值 称 为 共享 密 钥 (SSD )，CAVE 
算法 如 图 11-4 所 示 ， 由 3 个 数值 计算 得 出 : 

(1) 用 户 的 A-Key。 ARE cave H 882-4 

(2) 手机 的 电子 序列 号 (ESN)。 SPB 

(3) 一 个 随机 数 RAND。 RAND 

这 3 个 数值 通过 CAVE 算法 产生 两 个 64b AR 
凑 值 SSD_A 和 SSD_B。SSD A 用 于 认证 ,而 
SSD_B 用 于 加 密 。SSD_A 等 同 于 GSM 的 SRES, SSD_B 等 同 于 GSM 的 Kee 

当 移 动用 户 处 于 漫游 状态 时 ，SSD_A 和 SSD_B 以 明文 方式 从 用 户 的 归属 网 络 传输 
到 当前 的 访问 网 络 中 。 这 会 造成 安全 威胁 ， 因 为 黑客 可 以 通过 截获 SSD 值 来 克隆 手机 。 
为 了 预防 这 种 攻击 ， 手 机 和 网 络 使 用 一 个 同步 的 通话 计数 器 。 每 当 手机 和 网 络 建立 新 的 
通话 时 ， 计 数 器 就 会 更 新 。 这 样 就 能 够 检测 到 计数 器 没有 更 新 的 克隆 SSD。 

CDMA 的 认证 同样 建立 在 挑战 /响应 机 制 上 。 认 证 可 以 由 本 地 MSC 或 者 AuC 来 完成 。 
如 果 一 个 MSC 不 能 完成 CAVE 的 计算 , 认证 就 由 AuC 来 实现 。 如 图 11-5 所 示 ， 下 面 是 
CDMA 的 认证 步骤 ， 

(1) 移动 手机 拨 出 电话 。 

(2) MSC 从 归属 网 络 位 置 寄存 器 (HLR) 获取 用 户 信息 。 

(3) MSC 产生 一 个 24b 的 随机 数 用 于 挑战 值 (RANDU )。 

(4) RANDU 被 传输 到 手机 。 

(5) 手机 收 到 RANDU， 把 它 和 SSD_A、ESN 和 MIN 一 起 用 CAVE 生成 杂凑 值 ， 
得 到 18b 的 AUTHU。 

(6) 同时 ，MSC 通过 SSD_A、ESN 和 MIN、CAVE 计算 出 自己 的 AUTHU。 

(7) 手机 将 AUTHU 传输 到 MSC. 

(8) MSC 将 自己 计算 出 的 AUTHU 与 接收 到 的 AUTHU 比较 ， 如 果 AUTHU 匹配 ， 
通话 继续 进行 ， 如 果 AUTHU 不 匹配 ， 通 话 中 止 。 





ESN 





























图 11-4 CAVE 算法 
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基站 |- ,| 移动 交 
控制 器 换 中 心 














AUTHU=CAVE(RANDU,ESN,MIN) 一 -一 AUTHU=CAVE(RANDU,ESN,MIN) 
图 11-5 CDMA 认证 


2. CDMA 的 保密 性 

CDMA 采用 与 GSM 类 似 的 语音 加 密 机制 。 在 进行 认证 的 同时 ，CDMA 手机 也 完成 
了 以 下 工作 

(1) 移动 手机 收 到 RAND, 将 它 与 SSD_B、ESN 和 MIN 一 起 用 CAVE 生成 杂凑 值 ， 
得 到 18b 的 语音 隐私 掩 码 (Voice Privacy Mask, VPMASK). 
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(2) 同时 ，MSC 通过 SSD _B、ESN、MIN 和 CAVE 算出 自己 的 VPMASK。 

(3) VPMASK 用 于 手机 与 CDMA 网 络 之 间 的 语音 与 数据 加 密 。 

一 个 类 似 的 过 程 也 被 用 于 生成 64b 的 数据 加 密 密 钥 ， 称 为 信 令 消息 加 密 密 钥 
(Signaling Message Encryption Key，SMEKEY )。 

虽然 CDMA 标准 允许 语音 通信 加 密 ， 但 是 CDMA 运营 商 并 不 总 是 提供 这 种 服务 ， 
因为 CDMA 采用 的 扩 频 技术 和 随机 编码 技术 本 身 就 比 GSM 采用 的 TDMA 技术 更 难 
破解。 

与 GSM 一 样 ，CDMA 采用 的 加 密 算法 也 是 保密 的 ， 因 此 针对 CAVE 算法 的 攻击 很 
少 ， 但 是 这 并 不 意味 着 CAVE 算法 本 身 就 是 安全 的 ， 在 理论 上 它 很 可 能 也 存在 着 漏洞 。 
幸运 的 是 ，CDMA 也 开始 逐渐 采用 公 钥 密码 体制 ， 这 样 会 大 大 提高 系统 的 安全 性 ， 同 时 
也 使 CDMA 运营 商 能 够 提供 更 多 的 移动 商务 服务 。 


11.2.3 3G 系统 的 安全 性 


1. 用 户 身 份 保 密 

为 了 达到 用 户 身 份 保密 要 求 ,3G 系统 使 用 了 两 种 机 制 来 识别 用 户 身 份 : 一 种 是 使 用 
临时 用 户 身份 标识 TMSI); 另 一 种 是 使 用 加 密 的 永久 用 户 身份 标识 (IMSI)。3G 系统 
也 要 求 用 户 不 能 长 期 使 用 同一 身份 。 另 外 , 3G 系统 还 对 接 入 链 路 上 可 能 泄漏 用 户 身份 的 
信 令 信息 及 用 户 数据 进行 加 密 传送 。 为 了 保持 与 第 二 代 系 统 的 兼容 , 3G 系统 也 允许 使 用 
非 加 密 的 IMSI. 

TMSI 具有 本 地 特征 ， 仅 在 用 户 登记 的 位 置 区 域 和 路 由 区 域内 有 效 。 在 此 区 域外 ， 
为 了 避免 混淆 ， 附 加 一 个 位 置 区 域 标识 LAI 或 路 由 区 域 标识 RAI. TMSI 与 IMSI 之 间 的 
关系 被 保存 在 用 户 注册 的 访问 位 置 寄存 器 VLR/SGSN 中 。TMSI 的 分 配 在 系统 初始 化 后 
进行 ， 如 图 11-6 所 示 。 

VLR 产生 新 的 身份 TMSI， 并 在 其 数据 库 中 存储 TMSI 和 IMSI 的 关系 。TMSI 应 该 
是 不 可 预测 的 。 然后 VLR 发 送 TMSI 和 新 的 位 置 区 域 身份 LAI 给 用 户 。 一 旦 收 到 , 用户 
存储 TMSI 并 自动 地 删除 与 以 前 所 分 配 的 TMSI 的 关系 。 用 户 发 送 确 认 信息 至 VLR; 一 
且 收 到 确认 ，VLR 即 从 其 数据 库 中 删除 旧 的 临时 身份 TMSI 和 IMSI 的 关系 。 

当 用 户 第 一 次 在 服务 网 注册 时 , 或 者 当 服 务 网 不 能 从 TMSI 重新 获得 IMSI 时 ,系统 
将 采用 永久 身份 机 制 ， 如 图 11-7 所 示 。 该 机 制 由 访问 网 络 的 VLR 发 起 ， 请 求 用 户 发 送 
它 的 永久 身份 ， 用 户 的 响应 中 包含 明文 的 IMSI。 























TMSI 分 配 命令 

















ME TMsIn,LAIn VLR/SGSN 用 户 用 户 身份 请 求 YLR/SGSN 
TMSI 分 配 完成 HE ea 
图 11-6 TMSI 的 分 配 图 11-7 永久 身份 机 制 


2. 认证 与 密 钥 协商 
3G 系统 沿用 了 GSM 的 认证 方法 ,并 对 其 做 了 改进 。WCDMA 系统 使 用 5 参数 的 认 
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证 向 量 AV 二 RANDI|IXRESI||CKIIKIIAUTN 进行 双向 认证 。3G 系统 认证 执行 AKA 认证 密 
钥 协 商 协 议 ， 认 证 过 程 如 图 11-8 所 示 ， 具 体 步骤 如 下 : 

(1) MS—VLR: IMSI, HLR. 

(2) VLR 一 HLR: IMSI. 

(3) HLR>VLR: AV=RANDIIXRESIICKIIKIIAUTN. 

(4) VLR—MS: RAND||AUTN. 

(5) MS>VLR: RES. 

VLR 收 到 移动 用 户 MS 的 注册 请 求 后 ， 向 HLR 发 送 该 用 户 的 IMSI， 请 求 对 该 用 户 
进行 认证 。HLR 收 到 VLR 的 认证 请 求 后 ， 生 成 序列 号 SQN 和 随机 数 RAND， 计 算 认 证 
向 量 AV 并 发 送 给 VLR. VLR 接收 到 认证 向 量 后 ,将 RAND 及 AUTN 发 送 给 MS, if 
求 用 户 产生 认证 数据 。MS 接收 到 认证 请 求 后 ， 计 算 XMAC， 并 与 AUTN 中 的 MAC 比 
较 , 若 不 同 , 则 向 VLR 发 送 拒绝 认证 消息 , 并 放弃 该 过 程 。 同时, MS 验证 接收 到 的 SQN 
是 否 在 有 效 的 范围 内 ， 若 不 在 有 效 的 范围 内 ，MS 则 向 VLR 发 送 “ 同 步 失败 ”消息 ， 并 
放弃 该 过 程 。 上 述 两 项 验证 通过 后 ，MS 计算 认证 响应 RES、 加 密 密 钥 CK 和 完整 性 密 
HIK, JPR RES 发 送 给 VLR. VLR 接收 到 来 自 MS 的 RES Ja, 将 RES 与 认证 向 量 AV 
中 的 XRES 进行 比较 ， 相 同 则 认证 成 功 ， 和 否则 认证 失败 。 该 认证 过 程 达 到 了 如 下 安全 有 目 
标 : Q@ 实 现 了 用 户 与 网 络 之 间 的 相互 认证 ，@ 建 立 了 用 户 与 网 络 之 间 的 会 话 密 钥 ，@ 保 
持 了 密 钥 的 新 鲜 性 。 

























































































MS SN: VLR/SGSN HE:HLR 
认证 数据 请 求 
认证 向 量 AV 的 产生 认证 向 量 AV(1*…n) 
a = 认证 数据 响应 AV(1*…n) 
存储 认证 向 量 
选择 认证 向 量 AV(i) 
用 户 认证 请 求 
RAND(DIAUTN(i) 

检验 AUTN(7) 认证 与 密 钥 
计算 RES(i) 分 配 (建立 ) 




















用 户 认证 响应 RES(i) 











比较 RES(N) 与 XRES(7) 














计算 CK(i) 与 IK(i) CKO) SIK(i) 
图 11-8 ”认证 与 密 钥 协商 过 程 











3. 接 入 链 路 数据 保护 
在 移动 用 户 MS 与 网 络 之 间 的 安全 通信 模式 建立 之 后 ， 所 有 发 送 的 消息 采用 两 种 安 
全 机 制 加 以 保护 : 巴 数 据 完整 性 机 制 : @ 数 据 加 密 机 制 。 
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数据 完整 性 保护 如 图 11-9 所 示 。 态 为 完整 性 保护 算法 ; 1, 为 完整 性 密 钥 , 长 为 128b; 
COUNT-I 为 完整 性 序列 号 ， 长 为 32b; FRESH 为 网 络 方 产生 的 随机 数 ， 长 为 32b， 用 于 
防止 重 放 攻击 ， MESSAGE 为 发 送 的 消息 ， DIRECTION 为 方向 位 ， 长 为 1b; MAC- 为 
用 于 消息 完整 性 保护 的 消息 认证 码 。 接 收 方 计算 XMAC-I[， 并 与 接收 到 的 MAC-I 比较 ， 
以 此 验证 消息 的 完整 性 。 





















































发 送 方 接收 方 
COUNT-I DIRECTION COUNT-I DIRECTION 
are FRESH MESSAGE | FRESH 
1, 一 一 | 万 Ik ts 
MAC-I XMAC-I 


图 11-9 消息 认证 码 的 产生 
数据 加 /解密 如 图 11-10 所 示 。 其 中 ， 态 为 加 密 算法 ; Ce 为 加 密 密 钥 ， 长 为 128b; 
COUNT-C 为 加 密 序列 号 ， 长 为 32b; BEARER 为 负载 标识 ， 长 为 Sb; DIRECTION 为 方 
向 位 ， 长 为 lb: LENGTH 为 所 需 的 密 钥 流 长 度 ， 长 为 16b。 





发 送 方 接收 方 
COUNT-C DIRECTION COUNT-C DIRECTION 
| BEARER | LENGTH | BEARER | LENGTH 
C, — th Ci 一 一 | 
密 钥 流 密 钥 流 





图 11-10 数据 加 /解密 


113 ”无 线 数据 网 络 的 安全 性 





11.3.1 有 线 等 效 保密 协议 

IEEE 802.11b 标准 定义 了 一 个 加 密 协 议 : WEP (Wired Equivalent Privacy， 有 线 等 效 
保密 协议 )， 用 来 对 无 线 局 域 网 中 的 数据 流 提供 安全 保护 。 该 协议 采用 RC4 流 加 密 算法 ， 
能 提供 的 功能 主要 包括 : 

(1) 访问 控制 一 一 防止 没有 WEP 密 钥 的 非法 用 户 访问 网 络 。 

(2) 保护 隐私 一 一 通过 加 密 手段 保护 无 线 局 域 网 上 传输 的 数据 。 

1. WEP 加 密 过 程 

WEP 加 密 过 程 如 图 11-11 所 示 。 从 图 中 可 以 看 出 ， 在 对 明文 数据 的 处 理 上 采用 了 两 
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种 运算 : 一 是 对 明文 进行 的 流 加 密 运算 ( 即 异 或 运算 ); 二 是 为 防止 数据 被 非法 算 改 而 进 
行 的 数据 完整 性 检查 向 量 (ICV) 运算 。 

(1) 40b 的 加 密 密 钥 与 24b 的 初始 向 量 CIV) 结合 在 一 起 ， 形 成 64b 长 度 的 密 钥 。 

(2) 生成 的 64b 密 钥 被 输入 到 伪 随 机 数 生成 器 (PRNG) 中 。 

(3) 伪 随 机 数 生成 器 输出 一 个 伪 随 机 密 钥 序 列 。 

(4) 生成 的 序列 与 数据 进行 位 异 或 运算 ， 形 成 密 文 。 

为 了 保证 数据 不 被 非法 算 改 ， 一 种 完整 性 算法 (CRC32) 会 应 用 在 明文 上 ， 生 成 
32b 的 ICV。 明 文 与 32b 的 ICV 合并 后 被 加 密 ， 密 文 与 IV 一 起 被 传输 到 目的 地 。 

























































































一 | 初始 向 量 
初始 向 量 一 一 | 合 | A T 伪 随 机 到 ee 
密 钥 一 一 | 并 生成 器 Peels EX 
明文 ee 
Lal 完整 性 算法 i 
ICV 
图 11-11 WEP 加 密 过 程 


2. WEP 解密 过 程 
WEP 解密 过 程 如 图 11-12 所 示 。 为 了 对 数据 流 进 行 解 密 ，WEP 进行 如 下 操作 : 


密 铀 一 ~| a LAT 伪 随 机 数 















































| 并 生成 器 EARN 明文 
初始 向 量 异 J cv 
或 上 | 完整 性 算法 
mi an 比较 > 一 ~ 




















图 11-12 WEP 解密 过 程 


(1) 接收 到 的 IV 被 用 来 产生 密 钥 序列 。 

(2) 加 密 数 据 与 密 钥 序 列 一 道 产 生 解 密 数 据 和 ICV 

(3) 解密 数据 通过 数据 完整 性 算法 生成 ICV 。 

(4) 将 生成 的 ICV 与 接收 到 的 ICV 进行 比较 。 如 果 不 一 致 ， 将 错误 信息 报告 给 发 
送 方 。 

3. WEP 认证 方法 

一 个 客户 端 如 果 没 有 被 认证 ， 将 无 法 接 入 无 线 局 域 网 络 。 因 此 必须 在 客户 端 设置 认 
证 方式 ， 而 且 该 方式 应 与 接 入 点 采用 的 方式 兼容 。IEEE 802.11b 标准 定义 了 两 种 认证 方 
式 : 开放 系统 和 共享 密 钥 认证 。 

(1) 开放 系统 认证 。 

开放 系统 认证 是 IEEE 802.11 协议 采用 的 默认 认证 方式 。 开 放 系 统 认 证 对 请 求 认证 
的 任何 人 提供 认证 。 整 个 认证 过 程 通过 明文 传输 完成 ， 即 使 某 个 客户 端 无 法 提供 正确 的 
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WEP 密 钥 ， 也 能 与 接 入 点 建立 联系 。 
(2) 共享 密 钥 认证 。 
共享 密 钥 认证 采用 标准 的 挑战 /响应 机 制 ， 以 共享 密 钥 来 对 客户 端 进行 认证 。 该 认证 
方式 允许 移动 客户 端 使 用 一 个 共享 密 钥 来 加 密 数 据 。WEP 允许 管理 员 定义 共享 密 钥 。 没 
客户 端 接 入 点 ”有 此 共享 密 钥 的 用 户 将 被 拒绝 访问 。 用 于 加 密 和 解密 的 
密 钥 也 被 用 于 提供 认证 服务 ， 但 这 会 带 来 安全 隐患 。 与 


认证 请 求 
| 开放 系统 认证 相 比 ， 共 享 密 钥 认 证 方式 能 够 提供 更 好 的 


认证 服务 。 如 果 一 个 客户 端 采用 这 种 认证 方式 ， 客 户 端 


WS 必须 支持 WEP。WEP 认证 过 程 如 图 11-13 所 示 。 


挑战 回应 4. WEP 密 钥 管 理 
| | 共享 密 铀 被 存储 在 每 个 设备 的 管理 信息 数据 库 中 。 
虽然 IEEE 802.11 标准 没有 指出 如 何 将 密 钥 分 发 到 各 个 


认证 确认 | 
| | 设备 上 ， 但 它 提 到 了 两 种 解决 方案 : 
C1) 各 设备 和 接 入 点 共享 一 组 共 4 个 默认 窗外。 


本 (2) 每 个 设备 与 其 他 设备 建立 密 钥 对 关系 。 

TES VEE En 第 一 种 方案 提供 了 4 个 密 钥 。 如 果 一 个 客户 端 获得 
了 这 些 默认 密 铀 ， 该 客户 端 就 可 以 与 整个 子 系统 的 所 有 设备 进行 通信 。 客 户 端 或 接 入 点 
可 以 采用 这 4 个 密 钥 中 的 任意 一 个 来 实施 加 密 和 解密 运算 。 这 各 方案 的 缺点 是 : WRR 
认 密 钥 被 广泛 分 发 ， 它 们 就 可 能 被 泄漏。 

在 第 二 种 方案 中 ， 每 个 客户 端 都 要 与 其 他 所 有 设备 建立 一 个 密 钥 对 映射 表 ， 每 个 不 
同 的 MAC 地 址 都 有 一 个 不 同 的 密 钥 ， 且 知道 此 密 钥 的 设备 较 少 ， 因 此 这 种 方案 更 安全 。 
虽然 这 种 方案 减 小 了 受 攻击 的 可 能 性 ， 但 是 随 着 设备 数量 的 增加 ， 密 钥 的 人 工分 发 会 变 
得 很 困难 。 


11.3.2 ”802.1x 协议 介绍 


802.1x 协议 最 早 作 为 有 线 以 太 网 络 的 标准 提出 ， 它 也 同样 适用 于 无 线 局 域 网 ， 为 认 

证 和 密 钥 分 发 提供 了 一 个 整体 框架 。 它 利用 了 很 多 拨号 网 络 的 安全 机 制 ， 为 每 个 用 户 和 
每 个 网 络 会 话 提供 了 独一无二 的 加 密 密 钥 , 同时 支持 128b 的 密 钥 长 度 。 它 还 包含 一 个 密 
钥 管 理 协 议 , 能 够 提供 密 钥 自动 生成 功能 。 密 钥 也 可 以 在 设 定 的 时 段 后 自动 改变 。802.1x 
也 支持 RADIUS 和 Kerberos IRS, 通过 与 上 层 认 证 协议 一 起 使 用 , 可 提供 认证 和 密 钥 生 
成 功能 。 

在 802.1x 网 络 中 有 如 下 3 种 角色 : 

(1) 认证 者 : 在 802.11 网 络 中 ， 通 常 是 接 入 点 。 它 确保 认证 的 进行 ， 同 时 将 数据 路 
至 网 络 中 正确 的 接收 者 。 

Q) 认证 请 求 端 : 在 802.11 网 络 中 ， 通 常 是 客户 端 设备 提出 认证 请 求 。 

G) 认证 服务 器 (AS): 可 信 的 第 三 方 ， 为 客户 端 提 供 实际 的 认证 服务 ， 通 常 为 Radius 
认证 服务 器 。 
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802.1x 的 操作 可 以 通过 受 控 端口 和 非 受 控 端 口 的 概念 来 说 明 。 受 控 端 口 和 非 受 控 端 
口 是 同一 物理 端口 的 逻辑 划分 。 一 个 数据 帧 能 否 通过 接 入 点 路 由 到 受 控 端 口 或 非 受 控 端 
口 ， 取 决 于 客户 端的 认证 状态 。 如 图 11-14 所 示 ， 在 客户 端 通过 认证 服务 器 认证 前 ， 接 
入 点 只 允许 客户 端 与 认证 服务 器 通信 ， 只 有 在 被 认证 服务 器 认证 后 ， 客 户 端 才能 与 网 络 
上 的 其 他 设备 通信 。 


未 认证 端口 受 控 端口 

Cn) 
ip 

p= 


4 
客户 端 接 入 点 
非 受 控 端口 


(a) 认证 前 状态 


认证 后 端口 ” 受 控 端口 
人 有 线 局 域 网 








(b) 认证 后 状态 
图 11-14 ”认证 前 状态 与 认证 后 状态 


实际 的 认证 数据 交互 过 程 由 上 层 的 认证 协议 实现 ， 认 证 的 协议 和 数据 的 转发 由 
802.1x 协议 控制 。 值 得 注意 的 是 ， 认 证 是 客户 端 与 服务 器 的 双向 认证 。 在 完成 认证 的 同 
时 ， 会 生成 物理 介质 访问 控制 层 (MAO 的 加 密 密 钥 。802.1x 会 使 用 该 密 钥 在 接 入 点 和 
客户 端 之 间 进 行 加 密 。 在 802.1x 网 络 中 会 生成 两 种 密 钥 ， 一 种 是 会 话 密 钥 (也 称 为 双方 
使 用 的 密 钥 )， 另 一 种 是 群 密 钥 (也 称 为 群 内 使 用 密 钥 )。 群 密 钥 由 所 有 接 到 同一 接 入 点 
的 客户 端 共享 ， 主 要 用 于 多 播 。 而 会 话 密 钥 则 随 着 客户 端 和 接 入 点 的 连接 变化 而 变化 ， 
这 样 ， 在 客户 端 与 接 入 点 之 间 就 形成 了 专用 信道 。 


11.3.3 802.111 标准 介绍 


802.11i 标准 针对 WEP 的 诸多 缺陷 加 以 改进 ， 增 强 了 无 线 局 域 网 中 的 数据 加 密 和 认 
证 性 能 。802.11i 规定 使 用 802.1x 的 认证 和 密 钥 管理 方式 。 在 数据 加 密 方面 ，802.11i 定 
义 了 临时 密 钥 完 整 性 协议 CTKIP)、 密 文 分 组 链接 模式 一 一 消息 认证 码 协 议 CCCMP) 两 
种 加 密 模式 。 其 中 ，TKIP 是 WEP 机 制 的 加 强 版 ， 它 采用 RC4 作为 核心 加 密 算法 ， 可 以 
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从 WEP 上 平滑 升级 ， 而 CCMP 采用 AES 分 组 加 密 算 法 和 MAC 消息 认证 协议 ， 使 无 线 
局 域 网 的 安全 性 大 幅 提高 ， 但 是 由 于 与 现 有 无 线 网 络 不 兼容 ， 升 级 费用 很 高 。 


1. TKIP 加 密 模 式 

tj WEP 相 比 ，TKIP 在 以 下 4 个 方面 得 到 了 加 强 : 

(1) 使 用 Michael 消息 认证 码 以 抵御 消息 伪造 攻击 。 

(2) 使 用 扩展 的 48b 初始 化 向 量 CIV) 和 IV 顺序 规则 以 抵御 消息 重 放 攻 击 。 

G) 对 各 数据 包 采 用 不 同 密 钥 加 密 以 弥补 密 钥 的 脆弱 性 。 

(4) 使 用 密 钥 更 新 机 制 ， 提 供 新 鲜 的 加 密 和 认证 密 钥 ,以 预防 针对 密 钥 重用 的 攻击 。 

TKIP 采用 48b 的 扩展 初始 向 量 ， 称 为 TKIP 序列 计数 器 (TSC)。 使 用 48b 的 TSC 
延长 了 临时 密 钥 的 使 用 寿命 ， 在 同一 会 话 中 不 必 重 新 生成 临时 密 钥 。 由 于 每 发 送 一 个 数 
HEAR, TSC 就 更 新 一 次 临时 密 钥 可 以 连续 使 用 2* 次 而 不 会 产生 密 钥 重 用 的 问题 , 在 一 个 
稳定 而 高 速 的 连接 中 ， 这 相当 于 要 过 100 年 才 会 产生 重复 密 钥 。 

TKIP 加 密 报 文 格式 如 图 11-15 所 示 。 


初始 向 量 | 扩展 向 量 消息 完整 性 化 代码 | 数据 完整 性 


4B 8B 验证 码 4B 
图 11-15) TKIP 加 密 报 文 格式 


TSC 由 WEP 初始 化 向 量 的 前 两 个 字 节 和 扩展 向 量 的 4B 构建 而 成 -TKIP 将 WEP 加 
密 数 据 报 的 长 度 扩展 了 12B， 这 12B 分 别 是 来 自 扩展 向 量 的 4B 和 来 自 消息 完整 性 代码 
MIC 的 8B。 

TKIP 的 封装 过 程 如 图 11-16 所 示 。 封 装 过 程 采用 临时 密 钥 和 消息 认证 码 密 钥 ,这些 
密 钥 由 802.1x 中 产生 的 会 话 密 钥 生成 。 临 时 密 钥 、 传 输 方 地 址 和 TSC 被 用 于 第 一 阶段 
的 密 钥 混淆 过 程 ， 生 成 每 个 数据 报 所 用 的 加 密 密 钥 。 该 密 钥 的 长 度 为 128b， 被 分 成 一 个 
104b 的 RC4 加 密 密 钥 和 一 个 24b 的 初始 向 量 。 






























































临时 密 钥 一 | 第 一 阶段 RC4 密 钥 
传输 方 地 址 密 钥 混 清 单数 据 包 密 钥 
WEP 初 始 
ase = = 化 向 量 | WED | aes ata 
消息 认证 码 密 钥 一 | 消息 认证 
源 地 址 + 目的 地 -| ag 数据 分 片 
址 + 消息 明文 明文 数据 pem 
报 +MIC 据 报 


B 11-16 TKIP 的 封装 过 程 


消息 认证 码 使 用 数据 报 的 明文 及 源 、 目 的 MAC 地 址 生成 ， 这 样 ， 数 据 报 的 信息 随 
着 源 和 目的 MAC 地 址 的 改变 而 改变 ， 可 防止 数据 报 的 伪造 。 
消息 认证 码 使 用 称 为 Michael 的 单 向 杂凑 函数 生成 , 而 非 采 用 WEP 生成 数据 完整 性 
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检查 向 量 ACV) 时 所 使 用 的 简单 的 CRC-32 函数 ,这 使 黑客 截取 和 自 改 数据 报 的 难度 加 
大 。 如 果 需 要 ， 数 据 报 可 以 分 片 ， 在 每 个 分 片 数 据 报 输入 WEP 加 密 引 擎 之 前 ，TSC 都 
会 加 1。 

解密 过 程 和 加 密 过 程 类 似 。 在 从 收 到 的 数据 报 中 提取 TSC 后 ， 接 收 方 会 对 其 进行 检 
查 ， 确 保 它 比 先前 收 到 的 数据 报 的 TSC 大 ， 以 防止 重 放 攻击 。 在 接收 到 并 解密 数据 报 生 
成 消息 完整 性 代码 (MIC) 后 ， 接 收 方 将 其 与 收 到 的 MIC 进行 比较 ， 以 确保 数据 报 没 有 
被 算 改 。 


2. CCMP 加 密 模式 

CCMP 提供 比 TKIP 更 强 的 加 密 模 式 ， 也 是 802.11i 规 定 强制 采用 的 加 密 模 式 。 它 采 
用 128b 的 分 组 加 密 算法 AES. AES 可 以 采用 多 种 模式 ， 而 802.11i 采用 计数 器 模式 和 密 
文 分 组 链接 -消息 认证 码 模式 。 计 数 器 模式 保证 了 数据 的 私密 性 ， 而 密 文 分 组 链接 -消息 
认证 码 模式 保证 了 数据 的 完整 性 和 认证 性 。 

图 11-17 为 CCMP 加 密 数据 报 格式 。 该 数据 报 比 原始 数据 报 延 长 了 16B， 除 了 没有 
WEP 的 完整 性 检查 向 量 〈ICV) 以 外 ， 它 的 格式 与 TKIP 的 数据 报 格式 相同 。 





初始 向 量 | 扩展 向 量 消息 完整 性 代码 
4B 4B 数据 8B 





图 11-17 CCMP 加 密 报 文 格式 


45 TKIP 相同 ，CCMP 也 采用 48b 的 初始 化 向 量 ， 称 为 数据 报 数 (PN)。 数 据 报 数 和 
其 他 信息 一 起 用 于 初始 化 AES 加 密 算法 ， 并 用 于 消息 验证 码 的 计算 和 数据 的 加 密 。 

图 11-18 显示 了 CCMP 封装 过 程 。 在 消息 验证 码 的 计算 和 数据 报 的 加 密 中 ，AES 采 
用 了 相同 的 临时 加 密 密 钥 。 与 TKIP 一 样 ， 临 时 密 钥 也 是 由 802.1x 交换 产生 的 主 密 钥 生 
成 的 。 
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图 11-18 CCMP 封装 过 程 
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MIC 的 计算 与 数据 报 的 加 密 同步 进行 。 在 MIC 的 计算 中 使 用 了 初始 化 向 量 CV), 
该 向 量 由 一 个 标志 值 、PN 和 数据 帧 头 的 某 些 部 分 组 成 。IV 在 注入 一 个 AES 分 组 后 的 输 
出 与 数据 帧 头 的 某 些 部 分 异 或 后 再 次 注入 另 一 个 AES 分 组 , 这 个 过 程 重复 下 去 生成 一 个 
128b 的 CBC-MAC 值 。 该 值 的 前 64b 被 取出 并 附加 到 密 文 数据 报 后 面 。 

计数 器 输入 也 由 PN、 一 个 标志 值 、 数 据 帧 头 的 某 些 部 分 和 一 个 初始 化 为 1 的 计数 器 组 
成 。 计 数 器 输入 被 注入 一 个 AES 分 组 加 密 盒 ， 输 出 与 128b 的 明文 异 或 ， 计 数 器 加 1 后 这 
个 过 程 继续 进行 ， 直 到 整个 数据 帧 被 加 密 。 最 后 计数 器 被 置 为 0， 输入 到 一 个 AES 分 组 加 
密 盒 ， 输 出 与 MIC 异 或 后 添加 到 加 密 数据 报 的 后 面 。 最 后 ， 将 全 部 加 密 数据 报 进行 传输 。 

CCMP 的 解密 过 程 基本 上 是 上 述 过 程 的 逆 过 程 。 最 后 一 步 是 将 计算 得 到 的 MIC 值 与 
收 到 的 MIC 值 进行 对 比 ， 以 证 明 数 据 没 有 被 算 改 。 

3. 上 层 认证 协议 

802.11i 标准 并 没有 规定 上 层 采用 的 认证 协议 ， 因 为 这 些 协 议 作 用 在 3 层 以 上 , 不 在 
802.11 规定 的 范围 内 。 上 层 认 证 协议 主要 应 用 于 企业 网 络 ， 提 供 客户 端 和 服务 器 的 相互 
认证 功能 ， 并 生成 会 话 密 钥 用 于 数据 加 密 。 上 层 认 证 协议 与 802.1x 配合 使 用 ，802.1x 主 
要 用 于 确保 上 层 认 证 协议 的 使 用 及 正确 地 转发 消息 ， 而 上 层 认证 协议 则 提供 实际 的 认证 
功能 。 很 多 企业 会 采用 Radius 服务 器 提供 认证 功能 。 最 流行 的 认证 协议 包括 : 具有 传输 
层 安 全 的 可 扩展 认证 协议 (EAP-TLS)、 受 保护 的 可 扩展 认证 协议 (PEAP)、 具 有 传输 层 
隧道 安全 的 可 扩展 认证 协议 (EAP-TTLS) 和 轻 量 可 扩展 认证 协议 (LEAP). 

上 面 介绍 的 802.11i 的 各 个 组 成 部 分 应 当 作为 一 个 整体 来 部 署 , 任何 部 分 独立 使 用 时 
都 存在 着 自己 的 安全 缺陷 。 


11.3.4 802.16 标准 的 安全 性 


IEEE 802.16 标准 又 称 为 WiMAX (Worldwide Interoperability for Microwave Access), 
是 一 种 为 企业 和 家 庭 用 户 提供 “最 后 一 千 米 接 入 ”的 宽带 无 线 连接 方案 。802.16 不 仅 是 
无 线 城 域 网 的 标准 ， 同 时 也 继 TD-SCDMA, WCDMA 和 CDMA2000 之 后 ， 成 为 第 4 个 
3G 标准 。 

802.16 标准 中 定义 了 安全 子 层 ， 通 过 对 客户 端 与 基站 之 间 的 无 线 信道 进行 加 密 ， 为 























证 ， 安 全 子 层 也 能 防止 非法 用 户 访问 ISP 所 提供 的 服务 。 

安全 子 层 中 又 包括 5 个 部 分 : 

(1) 安全 关联 (SA) 

安全 关联 (SA) 维护 着 一 个 连接 的 安全 状态 。802.16 使 用 了 两 种 SA， 但 只 特别 定 
义 了 数据 SA， 主 要 用 于 保护 客户 端 与 基站 间 的 传输 连接 。 

数据 安全 关联 包括 下 面 的 内 容 : 

e 一 个 16b 的 SA 标识 符 (SAID). 

o 用 于 加 密 数据 的 加 密 算 法 ， 该 标准 采用 的 是 密 文 分 组 链接 模式 的 DES 算法 。 

e 两 个 用 于 加 密 数据 的 密 钥 CTEK)， 一 个 是 当前 使 用 的 密 钥 ; 另 一 个 是 当前 密 钥 
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过 期 后 将 使 用 的 密 钥 。 
两 个 2b 的 密 钥 标识 符 。 
TEK 的 生命 周期 。 默 认为 半天 ， 最 短 为 30 分 钟 ， 最 长 为 7 天 。 
每 个 TEK 的 初始 向 量 。 
SA 的 类 型 定义 。 主 SA 是 在 链 路 初始 化 时 建立 的 ， 静 态 SA 是 在 基站 上 设 定 的 ; 
动态 SA 是 在 生成 动态 传输 连接 时 生成 的 。 
为 保证 传输 连接 的 安全 性 ,客户 端 会 使 用 create_connection 请 求 创建 一 个 初始 SA 数 
据 。 为 支持 多 播 ， 标 准 允 许多 个 连接 ID 共享 同一 个 SA。 在 网 络 连接 时 ，802.16 会 给 辅 
助 管理 信道 自动 创建 一 个 SA， 因 此 一 个 客户 端 通常 有 两 个 或 3 个 SA， 一 个 用 于 辅助 管 
理 信道 , 另 一 个 同时 (或 两 个 分 别 ) 用 于 上 连 和 下 连 传输 连接 。 每 个 多 播 组 共享 一 个 SA。 
虽然 IEEE 802.16 标准 中 没有 明确 指出 SA 的 具体 格式 ， 但 是 它 应 包括 以 下 内 容 : 
e 一 个 用 于 验证 客户 端的 X.509 证 书 。 
e 一 个 160b 的 授权 密 钥 (AK)。 客 户 端 正确 使 用 此 密 钥 意味 着 已 被 授权 使 用 该 
o 一 个 4b 的 授权 密 钥 标 志 符 。 
e 一 个 AK 生命 周期 值 。 范 围 为 1~70 天 ， 默 认为 7 天 。 
e 一 个 用 于 密 钥 分 配 的 密 钥 加 密 密 钥 KEK (一 个 112b 的 3DES 密 钥 )，KEK= 
Truncate-128 (SHA-1 ((AK|0“) @53% ))， 其 中 ，Truncate-128 (X) 表示 只 取 
X 的 前 128b, ab 意味 着 将 a FERA b FERAJ ORKAR, a 表示 将 数 
Fa WS n 次 ，SHA-1 为 标准 杂凑 算法 。 
e 一 个 基站 用 于 向 客户 端 认证 密 钥 分 发 信息 的 下 连 HMAC (基于 杂凑 函数 的 消息 
认证 码 ) 密 钥 ， 密 钥 由 公式 HMAC key=SHA-1 ((AK|0“) ©34") 生成 。 
e 一 个 客户 端 用 于 向 基站 认证 密 钥 分 发 信息 的 上 连 HMAC (基于 杂凑 函数 的 消息 
认证 码 ) 密 钥 ， 密 钥 由 公式 HMAC key= SHA-1((AK|0*) @5C%) 生成 。 
e 一 个 已 授权 数据 SA 列表 。 
一 个 授权 SA 由 一 个 特定 客户 端 和 一 个 特定 基站 所 共享 。 标 准 中 建议 将 AK 作为 基 
站 和 客户 端的 共享 密 钥 ， 基 站 使 用 授权 SA 来 配置 客户 端的 数据 SA。 
(2) X.509 证 书 应 包括 的 内 容 
X.509 证 书 用 于 证 明 通 信 双 方 的 身份 。 标 准 中 定义 了 X.509 证 书 应 包括 下 述 内 容 : 
o X.509 证 书 格式 第 3 版 。 
证 书 序列 号 。 
证 书 颁布 者 采用 的 签名 算法 
证 书 颁布 者 。 
证 书 所 有 者 的 公 钥 ， 包 括 公 钥 的 适用 范围 ， 仅 用 于 RSA 加 密 。 
签名 算法 ， 与 证 书 颁布 者 采用 的 签名 算法 类 似 。 
证 书 颁布 者 的 签名 ， 采 用 ASN.1.DER 编码 标准 产生 的 签名 。 
标准 中 没有 定义 X.509 证 书 的 扩展 内 容 和 基站 证 书 ， 但 是 它 定义 了 两 种 证 书 类 型 : 











公 钥 签名 标准 1, BI RSA 加 密 加 上 SHA-1 杂凑 。 
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制造 商 证 书 和 客户 端 证 书 。 制 造 商 证 书 用 于 标识 802.16 设备 的 制造 者 ， 它 可 以 是 自 签名 
证 书 或 由 第 三 方 颁发 的 证 书 。 客 户 端 证 书 标识 一 个 特定 的 客户 端 ， 并 将 其 MAC 地 址 包 
含 在 证 书 所 有 者 字段 内 。 

客户 端 证 书 通 常 由 制造 商 产 生 。 基 站 使 用 制造 商 的 公 钥 来 验证 客户 端 证 书 ， 从 而 验 
证 设备 身份 的 真实 性 。 这 种 设计 要 求 客户 端 必须 妥善 保管 自己 的 私 钥 ， 以 防 泄漏 。 

(3) PKM 授权 协议 

PKM 授权 协议 将 授权 令 牌 分 发 给 一 个 被 授权 的 客户 端 。 该 授权 协议 涉及 一 个 客户 端 
与 基站 的 三 步 交 互 过 程 : 

© 客户 端 发 送 生 产 者 证 书 到 基站 。 

@ 客户 端 发 送 客 户 端 证 书 、 客 户 端 支持 的 加 密 、 认 证 算法 和 SA 标识 符 给 基站 。 

© 基站 返回 使 用 客户 端 公 钥 和 RSA 加 密 算法 加 密 的 授权 密 钥 (AK)、 密 钥 生 命 周 
期 、 序 列 号 和 SA 标识 符 列表 。 

授权 密 钥 的 正确 使 用 意味 着 客户 端 已 被 授权 访问 无 线 城 域 网 络 ， 标 准 中 规定 AK 只 
在 客户 端 与 基站 间 共 享 ， 而 不 能 泄漏 给 第 三 方 。 

(4) 机 密 性 和 密 钥 管理 

PKM 协议 通过 在 基站 与 客户 端 之 间 进 行 两 到 三 步 信息 交互 以 建立 SA。 第 一 步 是 可 
选项 ， 由 基站 提出 重新 生成 密 钥 的 请 求 。 具 体 交互 过 程 如 下 : 

O 基站 发 送 序列 号 、SA 标识 符 及 使 用 HMAC 算法 和 下 连 密 钥 生 成 的 序列 号 与 SA 
标识 符 的 杂凑 值 。 

© 客户 端 发 送 序列 号 、SA 标识 符 及 使 用 HMAC 算法 和 上 连 密 钥 生成 的 序列 号 与 
SA 标识 符 的 杂凑 值 。 

@ 基站 发 送 序列 号 、SA 标识 符 、 当 前 正在 使 用 的 数据 加 密 密 钥 、 即 将 采用 的 新 数 
据 加 密 密 钥 ， 以 及 使 用 HMAC 算法 和 下 连 密 钥 对 上 述 字段 生成 的 杂凑 值 。 

(5) 数据 加 密 

802.16 数据 加 密封 装 如 图 11-19 所 示 ，DES-CBC 加 密 只 对 封装 数据 进行 加 密 ， 对 帧 
头 和 CRC 则 不 做 处 理 。 数据 帧 头 包括 一 个 两 位 的 字段 用 于 标识 所 用 的 数据 加 密 密 钥 , 它 
并 不 包含 CBC 加 密 模式 所 用 的 初始 化 向 量 。 为 了 计算 该 初始 化 向 量 , 802.16 标准 将 最 新 
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SA 初始 化 向 量 1 
由- DES-CBC 加 密 算法 数据 加 密 密 钥 
1 
物理 层 同 步 字 段 | 
MAC 帧 头 密 文 数据 CRC 

加 密 控制 位 (EC) 置 CRC 根 据 变化 的 MAC 
为 1 : 帧 头 和 密 文 数据 重新 
密 钥 序列 指定 所 使 计算 。 
用 的 数据 加 密 密 钥 。 


图 11-19 802.16 数据 加 密封 装 
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数据 帧 中 的 物理 层 同步 字段 与 SA 初始 化 向 量 进行 异 或 运算 生成 该 向 量 ,由 于 SA 初始 化 
向 量 是 恒定 不 变 和 公开 的 ， 而 物理 层 同 步 字 段 又 是 重复 和 可 预测 的 ， 因 此 数据 加 密 采 上 
的 初始 化 向 量 也 是 可 预测 的 。 


11.3.5 WAPI 标准 简介 


WAPI (WLAN Authentication and Privacy Infrastructure) 是 我 国 自主 研发 、 拥 有 自主 
知识 产权 的 无 线 局 域 网 安全 技术 标准 ， 由 ISO/IEC 授权 的 IEEE Registration Authority 审 
查 并 获得 认可 。WAPI 与 现行 的 802.11b 传输 协议 比较 相近 ， 区别 是 所 采用 的 安全 加 密 技 
术 不 同 : WAPI 采用 一 种 名 为 “无 线 局 域 网 认证 与 保密 基础 架构 “WAPI)” 的 安全 协议 ， 
而 802.11b 则 采用 WEP。 

WAPI 安全 机 制 由 WAI 和 WPI 两 部 分 组 成 , WAI 和 WPI 分 别 实现 用 户 身 份 认证 和 传输 
数据 加 密 功能 。 整 个 系统 由 接 入 点 (AP)、 站 〈 点 ) (STA) 和 认证 服务 单元 CASU) 组 成 。 

(1) 接 入 点 (Access Point, AP): 任何 一 个 具备 站 点 功能 、 可 通过 无 线 媒体 为 关联 
的 站 点 提供 访问 服务 能 力 的 实体 。 

(2) ùh CA) (Station, STA): 无 线 移动 终端 设备 ， 它 的 接口 符合 无 线 媒体 的 MAC 
All PHY 接口 标准 。 

(3) 认证 服务 单元 (Authentication Service Unit, ASU): 它 的 基本 功能 是 实现 对 STA 
用 户 证 书 的 管理 和 STA 用 户 身 份 的 认证 等 。ASU 作为 可 信任 和 具有 权威 性 的 第 三 方 , 保 
证 公 钥 体系 中 证 书 的 合法 性 。 

1. WAPI 认证 

WAPI 认证 原理 如 图 11-20 所 示 。STA 与 AP 上 都 安装 由 ASU 发 放 的 公 钥 证 书 ， 作 
为 自己 的 数字 身份 凭证 。AP 提供 STA 访问 LAN 的 受 控 端 口 和 非 受 控 端 口 的 服务 。STA 
首先 通过 AP 提供 的 非 受 控 端 口 连接 到 ASU 发 送 认证 信息 ， 只 有 通过 认证 的 STA 才能 
使 用 AP 提供 的 数据 端口 〈 即 受 控 端 口 ) 访问 网 络 。 












































STA AP ASU 
认证 激活 
证 接 入 认证 请 求 
书 证 书 认证 请 求 
认 
证 证 书 认证 响应 
接 入 认证 响应 











图 11-20 WAPI 认证 原理 


WAPI 认证 过 程 如 下 : 
(1) 认证 激活 。 当 STA 关联 或 重新 关联 至 AP 时 ， 由 AP 发 送 认证 激活 以 启动 整个 
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(2) 接 入 认证 请 求 。STA 向 AP 发 出 认证 请 求 ， 即 将 STA 证 书 与 STA 当前 的 系统 时 
间 发 往 AP， 其 中 ， 系 统 时 间 称 为 接 入 认证 请 求 时 间 。 

(3) 证 书 认 证 请 求 。AP KEJ STA 接 入 认证 请 求 后 ， 首 先 记录 接 入 认证 请 求 时 间 ， 
然后 向 ASU 发 出 证 书 认证 请 求 ， 即 将 STA 证 书 、 接 入 认证 请 求 时 间 、AP 证 书 及 AP 私 
钥 对 它们 的 签名 构成 证 书 认 证 请 求 发 送 给 ASU。 

(4) 证 书 认证 响应 。ASU 收 到 AP 的 证 书 认 证 请 求 后 ， 验 证 AP 的 签名 和 AP 证 书 
的 有 效 性 ， 若 不 正确 ， 则 认证 过 程 失 败 ; 车 正确 ， 则 进一步 验证 STA 证 书 。 验 证 完毕 后 ， 
ASU 将 STA 证 书 认证 结果 (包括 STA 证 书 和 认证 结果 )、AP 证 书 认 证 结果 (包括 AP 
证 书 、 认 证 结果 、 接 入 认证 请 求 时 间 ) 和 ASU 对 它们 的 签名 构成 证 书 认 证 响应 报 文 发 回 
给 AP。 

(5) 接 入 认证 响应 。AP 对 ASU 返回 的 证 书 认 证 响应 进行 签名 验证 ， 得 到 STA 证 书 
的 认证 结果 , 根据 此 结果 对 STA 进行 接 入 控制 。AP 将 收 到 的 证 书 认证 结果 回 送 至 STA. 
STA 验证 ASU 的 签名 后 , 得 到 AP 证 书 的 认证 结果 , 根据 认证 结果 决定 是 否 接 入 该 AP。 

至 此 ，STA 与 AP 之 间 便 完成 了 证 书 认 证 过 程 。 若 认证 成 功 ， 则 AP 允许 STA HEA; 
若 认证 失败 ， 则 解除 其 关联 。 


2. WAPI 密 钥 协 商 与 数据 加 密 

STA 与 AP 认证 成 功 后 进行 密 钥 协 商 的 过 程 如 下 : 

a) 密 钥 协商 请 求 。AP 产生 一 串 随 机 数据 ， 利 用 STA 的 公 钥 加 密 后 ， 向 STA 发 出 
密 钥 协商 请 求 。 此 请 求 包 含 请 求 方 所 有 的 备 选 会 话 算法 信息 。 

(2) 密 钥 协商 响应 。STA 收 到 AP 发 送 来 的 密 钥 协商 请 求 后 ， 首 先进 行 会 话 算法 协 
Wi: 若 STA 不 支持 AP 所 有 备 选 会 话 算法 ， 则 向 AP 响应 会 话 算法 失败 ; 否则 ，STA 在 
AP 提供 的 会 话 算法 中 选择 一 种 自己 支持 的 算法 。STA 利用 本 地 私 钥 解密 协商 数据 ， 得 
到 AP 产生 的 随机 数 ， 然 后 产生 一 个 新 的 随机 数 ，STA 利用 AP 的 公 钥 对 此 随机 数 加 密 
后 ， 再 发 送 给 AP. 

密 钥 协商 成 功 后 ，STA 与 AP 将 自己 与 对 方 产 生 的 随机 数据 进行 “ 模 2 加 ”运算 生 
成 会 话 密 铀 ， 利 用 协商 的 会 话 算法 对 数据 进行 加 /解密 。 为 了 进一步 提高 通信 的 保密 性 ， 
通信 一 段 时 间 和 交换 一 定数 量 的 数据 之 后 , STA 与 AP 之 间 将 重新 进行 会 话 密 钥 的 协商 。 


11.3.6 WAP 的 安全 性 


WAP 被 广泛 用 于 无 线 设备 访问 因特网 , 因为 它 是 针对 小 显示 屏 和 有 限 带 宽 的 手持 设 
备 而 设计 的 。 本 节 讨 论 WAP 的 安全 性 。 

1. WAP 网 络 架 构 

如 图 11-21 tas, WAP (Wireless Application Protocol) 网 络 架 构 由 3 部 分 组 成 : WAP 
设备 、WAP 网 关 和 Web 服务 器 。 

最 早 的 WAP 设备 是 多 功能 手机 ， 除 了 提供 传统 的 语音 功能 外 ， 这 种 设备 还 包括 一 
个 WAP 浏览 器 。 后 来 ，PDA 和 Pocket PC 上 也 提供 了 WAP 浏览 器 功能 。 这 些 设 备 要 么 
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用 无 线 Modem， 要 么 用 无 线 电 话 的 红外 线 端口 连接 到 无 线 网 络 上 。WAP 浏览 器 负责 
WAP 网 关上 请 求 页 面 并 将 返回 数据 显示 在 设备 上 。 它 能 解释 WML 的 数据 ， 也 可 以 执行 
用 WMLScript 编写 的 程序 。 但 是 由 于 设备 性 能 的 局 限 性 ，WMLScript 程序 通常 在 WAP 
网 关上 执行 ， 然 后 再 将 结果 返回 到 WAP 设备 。 


HTML  。 
am WLS 。 
Ñ 


WAP ik WAP 网 关 Web 服 务 器 
图 11-21 WAP 网 络 架 构 


所 有 来 自 WAP 设备 的 请 求 和 数据 都 必须 通过 WAP 网 关 转 发 到 Internet 上 。WAP 网 
关 的 作用 如 下 : 

A) 协议 转换 。 将 无 线 数据 协议 “WDP〉 和 无 线 传输 层 安全 (WTLS) 协议 转换 为 
有 线 网 络 协 议 如 TCP 或 TLS。 

(2) 内 容 转 换 。 将 HTML 网 页 转换 成 WML 兼容 格式 。 

(3) 性 能 优化 。 压 缩 数 据 ， 减 少 与 WAP 设备 的 交互 次 数 。 

当 WAP 网 关 收 到 WAP 设备 的 请 求 后 ,会 将 它 转换 成 HTTP 格式 并 从 Web 服务 器 上 
获得 页 面 。 

2. WAP 安全 架构 

协议 WAP 的 安全 架构 建立 在 无 线 传输 层 安全 (WTLS) 协议 之 上 。 

WTLS 协议 是 WAP 采用 的 安全 协议 。 它 作用 在 传输 层 协议 上 ， 为 WAP 的 高 层 协议 
提供 安全 传输 服务 接口 。 该 接口 保留 了 下 面 的 传输 层 ， 并 提供 管理 安全 连接 的 机 制 。 
WTLS 的 主要 目的 是 给 WAP 应 用 提供 机 密 性 、 数 据 完整 性 和 认证 服务 。 

WTLS 协议 支持 一 系列 算法 。 目 前 ， 保 密 性 由 分 组 加 密 算法 (如 DES-CBC、IDEA 
和 RC5-CBC ) 来 实现 ;通信 双方 的 认证 通过 RSA 或 Diffie-Hellman 密 钥 交换 算法 来 实现 ; 
而 数据 完整 性 由 SHA-1 或 MD-5 算法 来 实现 。 

WTLS 协议 提供 如 下 3 类 安全 服务 : 

a) 第 一 类 : 匿名 认证 。 客 户 端 登录 到 服务 器 ， 但 是 客户 端 和 服务 器 都 无 法 确认 彼 
此 的 身份 。 

(2) BOR: 服务 器 认证 。 只 有 客户 端 确认 服务 器 的 身份 ， 服 务 器 不 确认 客户 端的 
身份 。 

(3) 第 三 类 : 双向 认证 。 客 户 端 和 服务 器 彼此 确认 身份 。 

WTLS 协议 是 基于 TLS 协议 开发 出 来 的 ,但 针对 无 线 网 络 环境 对 TLS 做 了 一 些 改变 。 
首先 ， 针 对 低 延 迟 、 低 带宽 的 网 络 ，WTLS 对 TLS 进行 了 优化 。 ee 
力 和 内 存 有 限 ，WTLS 的 算法 族 中 采用 了 高 效 和 快速 的 算法 。 其 次 ， 根 据 法 律 规定 ， 必 
须 遵 守 加 密 算 法 出 口 和 使 用 的 限制 ， 所 以 在 算法 的 选择 上 留 有 余地 。 虽然 第 三 美 服务 提 
供 了 使 用 无 线 公 钥 基础 设施 CWPKD 的 可 能 ， 但 也 带 来 了 全 新 的 问题 ， 如 用 户 的 公 钥 / 
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私 钥 对 应 该 如 何 管理 等 。 虽然 密 钥 可 以 存储 在 SIM 卡 内 ， 但 是 网 络 运营 商 需 要 对 已 经 发 
放 的 SIM 卡 进行 升级 ， 这 无 疑 会 带 来 巨大 的 工作 量 。 针 对 这 个 问题 ，WAP 论坛 开发 出 
了 无 线 身份 识别 模块 WIM)， 它 可 以 是 虚拟 的 ， 即 将 身份 信息 存储 到 SIM 卡 中 未 用 的 
存储 空间 内 或 存储 在 单独 的 卡 上 。 目 前 ，WAP 的 应 用 大 多 采用 第 一 类 或 第 二 类 认证 。 第 
二 类 认证 的 认证 过 程 如 下 : 

(1) WAP 设备 向 WAP 网 关 发 送 请 求 。 

(2) 网 关 将 自己 的 证 书 (包含 网 关 的 公 钥 ) RE WAP 设备 。 

G) WAP 设备 取出 证 书 和 公 钥 ， 生 成 一 个 随机 数 ， 并 用 网 关 的 公 钥 进行 加 密 。 

(4) WAP 网 关 收 到 密 文 并 用 私 钥 解密 。 

该 过 程 虽然 简单 ， 但 是 它 通 过 最 少 的 交互 在 用 户 和 网 关 之 间 建立 加 密 隧 道 。 不 幸 的 
是 , WTLS 协议 只 对 从 WAP 设备 到 WAP 网 关 之 间 的 数据 进行 加 密 , 从 WAP 网 关 到 Web 
服务 器 之 间 的 数据 则 采用 SSL 协议 加 密 。 由 于 数据 必须 由 WTLS 格式 转换 成 SSL 格式 ， 
所 以 在 一 段 时 间 内 WAP 网 关上 的 数据 以 明文 形式 存在 ， 这 会 带 来 安全 问题 。 

WAP 也 提供 了 一 个 使 用 WMLScript 编写 的 WAP 设备 数字 签名 程序 SignText， 该 程 

序 提供 防 抵赖 服务 。 


3. 基于 WAP 网 关 的 端 到 端 安全 

WAP WTLS 建立 了 两 个 WAP 端点 一 一 WAP 设备 和 WAP 网 关 之 间 端 到 端的 安 
全 连接 。 当 WAP 网 关 将 请 求 转发 给 Web 服务 器 时 ， 系 统 使 用 SSL 协议 来 保障 安全 性 。 
这 就 意味 着 数据 将 在 WAP 网 关上 解密 和 加 密 。 在 提供 WTLS 到 SSL 转换 的 同时 ，WAP 
网 关 还 需 对 网 页 上 的 小 程序 和 脚本 进行 编译 ， 因 为 大 部 分 的 WAP 设备 都 没有 配备 编译 
器 。 值 得 注意 的 是 ， 在 从 WTLS 转换 到 SSL 的 过 程 中 ， 数 据 在 WAP 网 关上 是 以 明文 形 
式 存在 的 ， 因 此 如 果 WAP 网 关 没有 妥善 保护 ， 数 据 的 安全 就 会 受到 威胁 。 

为 了 弥补 这 一 缺陷 ，WAP 提出 了 两 点 改进 : 第 一 ， 采 用 客户 端 应 用 代理 将 认证 和 授 
权 信息 传输 给 无 线 网 络 的 服务 器 ;第 二 ， 将 数据 在 应 用 层 加 密 ， 这 样 就 保证 了 数据 在 整 
个 传输 过 程 中 是 加 密 的 。 

但 是 ，WAP 网 关 最 安全 的 应 用 方式 还 是 把 WAP 网 关 设 置 在 服务 提供 商 的 网 络 上 ， 
这 样 ， 客 户 端 和 服务 提供 商 之 间 的 连接 就 是 可 信 的 ， 因 为 解密 过 程 是 在 服务 提供 商 自 己 
的 网 络 上 而 不 是 在 网 络 运营 商 的 网 络 上 进行 的 。 


4. WTLS 记录 协议 

WTLS 记录 协议 从 高 层 协议 上 获取 原始 数据 ， 并 对 数据 进行 有 选择 的 加 密 和 压缩 。 
记录 协议 负责 保障 数据 的 完整 性 和 认证 性 。 接 收 到 的 数据 经 过 解密 、 验 证 和 解压 传输 到 
上 层 协议 。 记 录 协 议 通 过 一 个 3 步 握手 机 制 建立 安全 通信 : 首先 ， 握 手 协议 开始 建立 一 
个 连接 : 其 次 ， 改 变 加 密 细节 协议 就 通信 双方 采用 的 加 密 算 法 细节 达成 一 致 ， 最 后 ， 报 
警 协议 报告 错误 信息 。 这 3 个 协议 的 工作 内 容 如 下 : 

(1) 握手 协议 。 所 有 的 安全 参数 都 在 握手 中 确定 。 这 些 参数 包括 协议 版 本 号 、 加 密 
算法 及 采用 认证 和 公 钥 技术 生成 的 共享 密 钥 等 信息 。 

(2) 改变 加 密 细 节 协 议 。 改 变 加 密 算 法 细节 的 请 求 可 以 由 服务 器 或 客户 端 发 起 ， 当 
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收 到 请 求 后 ， 发 送 者 会 由 写 状态 转 为 挂 起 状态 ， 而 接收 者 也 由 读 状 态 转 为 挂 起 状态 。 
G) 告警 协议 。 有 3 种 告警 信息 一 和 警告、 紧急 和 致命 错误 。 告 警 信息 可 以 采用 加 
密 和 压缩 方式 传输 ， 也 可 以 采用 明文 方式 传输 。 


_ 414 Ad hoc 网 络 的 安全 性 


自 组 织 网 络 (Ad hoc Network) 是 由 一 组 带 有 无 线 网 络 接口 的 移动 终端 在 没有 固定 
网 络 设施 辅助 和 集中 管理 的 情况 下 搭建 的 临时 性 网 络 。 当 两 个 移动 终端 在 彼此 的 通信 履 
盖 范 围 内 时 ， 它 们 可 以 直接 通信 。 由 于 移动 终端 的 通信 覆盖 范围 有 限 ， 如 果 两 个 相距 较 
远 的 主机 要 进行 通信 ， 则 需要 通过 它们 之 间 的 移动 终端 转发 才能 实现 。 因 此 ， 在 Ad hoc 
网 络 中 ， 主 机 同时 还 是 路 由 器 ， 担 负 着 寻找 路 由 和 转发 报 文 的 工作 。 每 个 主机 的 通信 范 
围 有 限 ， 因 此 路 由 一 般 都 由 多 跳 组 成 ， 数 据 通 过 多 个 主机 的 转发 才能 到 达 目的 地 ,， 故 Ad 
hoc 网 络 也 被 称 为 多 跳 无 线 网 络 。 

Ad hoc 网 络 拓扑 结构 图 如 图 11-22 所 示 。 

















X z 


(a) 平面 结构 (b) 分 级 结构 o 分 层 结构 


图 11-22 Ad hoc 网 络 拓扑 结构 图 


Ad hoc 网 络 的 应 用 范围 很 广 ， 它 适用 于 以 下 场合 : 

(1) 没有 有 线 通 信 设 施 的 地 方 , 如 没有 建立 硬件 通信 设施 或 有 线 通信 设施 遭受 破坏 。 

(2) 需要 分 布 式 特性 的 网 络 通信 环境 。 

(3) 现 有 有 线 通 信 设 施 不 足 ， 需 要 临时 快速 建立 一 个 通信 网 络 的 环境 。 

(4) 作为 生存 性 较 强 的 后 备 网 络 。 

Ad hoc 网 络 具 有 自 组 织 性 、 无 中 心性 、 动 态 拓扑 、 资 源 受 限 和 多 跳 路 由 的 特点 。 这 
些 特性 也 带 来 了 其 安全 的 特殊 性 ， 如 下 所 述 : 

(1) Ad hoc 网 络 采用 无 线 信号 作为 传输 媒介 ， 很 容易 被 窃听 和 干扰 。 

(2) 网 络 节点 是 自主 移动 的 ， 节 点 的 安全 性 十 分 脆弱 。 例 如 在 战场 上 ， 节 点 随时 可 
能 落 入 敌人 之 手 ， 节 点 内 的 密 钥 、 报 文 信息 等 存在 被 破获 的 风险 ， 被 攻破 的 节点 随后 又 
可 能 以 合法 用 户 身份 加 入 网 络 。 因 此 ，Ad hoc 不 仅 要 防范 来 自 外 部 的 入 侵 ， 还 要 防御 来 
自 内 部 节点 的 攻击 。 

(3) Ad hoc 网 络 中 节点 位 置 随时 改变 ， 造 成 网 络 拓扑 的 不 断 变化 ， 因 此 造成 路 由 途 
径 的 不 断 变化 。 我 们 很 难 判断 一 条 错误 的 路 由 是 因 节 点 的 移动 所 致 还 是 因 虚 假 路 由 信息 
所 形成 。 由 于 节点 的 移动 性 ， 在 某 处 被 发 现 的 攻击 者 可 能 移动 到 新 的 地 点 ， 通 过 改变 标 
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识 重新 加 入 网 络 。 另 外 ， 由 于 Ad hoc 网 络 的 动态 网 络 拓扑 特性 ， 它 不 存在 网 络 边界 的 概 
念 ，Internet 中 常用 的 防火 墙 等 安全 设备 也 无 法 在 Ad hoc 网 络 中 应 用 。 

(4) 在 传统 的 非 对 称 密 钥 体 制 中 ， 用 户 常 采用 加 密 、 数 字 签 名 、 消 息 认 证 码 MAC 
等 技术 来 实现 信息 的 机 密 性 、 完 整 性 、 不 可 抵赖 性 等 安全 服务 ， 它 需要 一 个 可 信任 的 认 
证 中 心 CA 来 提供 密 钥 管理 服务 。 但 在 Ad hoc 网 络 中 不 允许 存在 认证 中 心 ， 因 为 认证 中 
心 的 崩溃 将 造成 整个 网 络 无 法 获得 认证 ， 即 单 点 失败 。 更 严重 的 是 ， 被 攻破 的 认证 中 心 
的 私 钥 可 能 会 泄漏 给 攻击 者 ， 攻 击 者 可 以 使 用 该 私 钥 来 签发 伪造 的 证 书 ， 假 冒 网 络 中 任 
意 一 个 移动 节点 或 废除 所 有 合法 的 证 书 ， 致 使 整个 网 络 完全 失去 安全 性 。 

(5) 目前 的 路 由 算法 都 假定 网 络 中 所 有 节点 是 相互 合作 的 、 可 信 的 ， 它 们 相互 配合 
以 完成 网 络 信息 的 传递 。 如 果 网 络 中 某 些 自私 节点 为 节省 本 身 的 资源 而 停止 转发 数据 ， 
就 会 影响 整个 网 络 的 性 能 。 如 果 参 与 到 网 络 中 的 攻击 者 专门 广播 虚假 的 路 由 信息 或 故意 
广播 大 量 的 无 用 数据 包 ， 可 能 导致 整个 网 络 的 崩溃 。 

(6) Ad hoc 网 络 终端 资源 受 限 ， 在 制定 和 实施 安全 方案 时 ， 必 须 充分 考虑 其 计算 量 
和 通信 量 等 。 

不 难看 出 ，Ad hoc 网 络 的 安全 问题 比 传统 网 络 突出 ， 解 决 起 来 难度 更 大 。 传 统 网 络 
中 存在 的 安全 问题 在 Ad hoc 网 络 中 同样 存在 ， 而 且 由 于 其 特殊 性 ，Ad hoc 网 络 又 面临 
新 的 安全 威胁 ， 如 针对 Ad hoc 网 络 的 女巫 攻击 等 。 目 前 在 传统 网 络 中 大 量 使 用 的 安全 解 
决 方案 ， 包 括 防火 墙 、VPN 及 IDS 等 ， 不 能 直接 应 用 于 Ad hoc 网 络 。 

目前 ，Ad hoc 网 络 安全 领域 研究 热点 集中 在 以 下 几 个 方面 : DAd hoc 网 络 保密 与 认 
证 技术 ; @Ad hoc 网 络 安全 路 由 ; @Ad hoc 网 络 入 侵 检测 技术 ; @Ad hoc 网 络 信任 建立 


与 度量 。 
11.4.1 Ad hoc 网 络 保密 与 认证 技术 


保密 与 认证 技术 用 来 认证 合法 的 节点 、 加 密 传输 信息 、 减 小 敌人 发 动 攻击 成 功 的 可 
能 性 ， 是 Ad hoc 网 络 安全 的 第 一 道 屏障 。 现 有 的 Ad hoc 网 络 保密 与 认证 方案 可 以 分 为 
双 钥 体 制 方案 〈 非 对 称 密 码 体制 ) 和 单 钥 体 制 〈 对 称 密码 体制 ) 方案 。 双 钥 体制 方案 主 
要 用 于 移动 Ad hoc 网 络 (Mobile Ad hoc Networks, MANET) 中 ， 而 单 钥 体 制 方案 主要 
用 于 无 线 传感器 网 络 (Wireless Sensor Network, WSN) 中 。 


1. 双 钥 体制 方案 

在 双 钥 体制 方案 中 ， 最 典型 的 是 分 布 式 CA 密 钥 管理 与 认证 方案 。 分 布 式 CA 方案 
分 为 部 分 分 布 式 CA 方案 和 完全 分 布 式 CA 方案 两 种 情况 。 

部 分 分 布 式 CA 方案 的 基本 思想 是 利用 Cn, 门限 密 钥 共享 体制 把 CA 中 心 分 散 到 
n 个 服务 器 中 。 系 统 有 一 个 公 钥 / 私 钥 对 KK。 公 钥 天 对 网 络 中 的 所 有 节点 公开 ， 而 私 钥 
被 分 成 了 nn 个 份额 s,s,,…,s,， 每 个 服务 器 i 有 一 个 份额 ， 如 图 11-23 所 示 。 在 Cn, t) 
门限 签名 体制 中 ， 用 系统 私 钥 产 生 一 个 签名 ， 至 少 需 要 n 个 服务 器 中 的 t 个 服务 器 合 
并 它们 的 私 钥 份 额 。 对 于 一 个 消息 mm， 服务器 i 用 自己 的 私 钥 份 额 s; 生 成 一 个 对 m 的 签 
名 分 量 PS(s,,m) ; n 个 服务 器 中 的 t 个 服务 器 产生 自己 的 签名 分 量 , 并 将 它 发 送 给 组 合 节 
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点 C; C 用 这 + 个 签名 分 量 生成 系统 对 m 的 签名 ， 而 不 会 泄漏 整个 系统 的 私 钥 X。 少 于 
个 服务 器 的 签名 分 量 不 能 合作 产生 系统 对 消息 m 的 签名 。 同 时 ,合并 节点 可 以 用 系统 公 
EH K 验证 签名 的 正确 性 。 图 11-24 说 明了 服务 器 是 如 何 采 用 门限 签名 方案 产生 一 个 系统 
签名 的 。 后 来 的 改进 方案 取消 了 组 合 节点 C， 提 高 了 系统 的 效率 和 可 用 性 。 这 种 方案 考 
IET Ad hoc 网 络 的 特点 ， 有 效 地 防止 了 单 点 失败 ， 具 有 很 好 的 抗 毁 性 。 
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图 11-23 ” 密 钥 管理 服务 配置 图 11-24 ”门限 签名 方案 


完全 分 布 式 CA 方案 扩展 了 部 分 分 布 式 CA 方案 , 取消 了 特殊 的 CA 节点 ，CA 中 心 
的 任务 由 所 有 的 网 络 节点 共同 承担 ， 每 个 节点 都 持 有 一 份 私 钥 份额 ， 任 意 t 个 节点 联合 
可 以 完成 加 /解密 和 证 书 操作 ， 符 合 Ad hoc 网 络 节 点 地 位 平等 的 特点 。 此 类 方案 充分 利 
用 邻接 节点 具有 较 好 的 网 络 连接 性 和 易于 监控 的 特点 ， 使 证 书 服务 既 分 散 化 又 本 地 化 ， 
能 较 好 地 适应 动态 的 网 络 拓扑 结构 。 

(1) 自 组 织 密 钥 管理 方案 。 基 于 PGP (Pretty Good Privacy) 的 思想 ， 不 需要 由 CA 
颁发 证 书 ， 而 是 节点 相互 颁发 并 维护 证 书 。 每 个 用 户 都 能 在 本 地 维护 一 个 证 书库 。 当 两 
个 用 户 需要 相互 认证 时 ， 它 们 合并 各 自 拥 有 的 证 书库 ， 形 成 一 张 认证 路 径 图 ， 并 从 该 图 
中 寻找 一 条 认证 路 径 。 认 证 成 功 取决 于 用 户 的 本 地 证 书库 构成 方式 和 认证 路 径 图 的 特性 。 
这 种 方案 实现 了 完全 的 自 组 织 ， 而 且 建立 阶段 比较 简单 。 

(2) 基于 身份 的 密 钥 管理 与 认证 方案 。 将 基于 身份 的 密码 机 制 与 分 布 式 CA 方案 的 
思想 相 结 合 。 基 于 身份 的 密码 机 制 使 用 节点 身份 标识 ， 如 姓名 、 邮 件 地 址 等 ， 作 为 公 钥 ， 
这 主要 有 两 个 优势 @ 不 需要 公 钥 证 书 ，@ 不 需要 交换 公 钥 。 方 案 中 由 一 组 选 定 的 节点 
共同 承担 密 钥 分 发 中 心 (Key Diistributed Center, KDC) 的 职责 ， 它 们 根据 Cn, t) 门限 
方案 获得 系统 私 钥 的 一 个 份额 ， 联 合 为 节点 产生 私 钥 。 

基于 杂凑 链 (Hash Chain) 认证 的 基本 思想 是 : 一 个 杂凑 函数 h 对 随机 数 x 应 用 n 
UK, x, =A" (x) 是 杂凑 链 的 最 后 一 个 值 。 每 个 设备 计算 自己 的 杂凑 链 ， 在 认证 的 方式 下 和 
通信 伙伴 交换 x, ， 保 证 x 不 泄漏 。 一 个 被 杂凑 链 中 x, 询问 的 设备 通过 应 答 杂 凑 链 中 的 前 
一 个 值 x,, 来 证 明 自己 的 身份 , 只 有 知道 x 的 设备 才能 计算 要 求 的 应 答 。 这 种 杂凑 链 机 制 
也 称 为 密 钥 链 ， 它 只 提供 单 向 认证 ， 且 在 协议 执行 中 没有 建立 密 钥 。 基 于 这 种 方法 提出 
的 认证 协议 很 多 ， 比 较 有 代表 性 的 是 TESLA (Timed Efficient Stream Loss-tolerant 
Authentication)。 在 TESLA 中 ， 发 送 者 首先 利用 数字 签名 将 x, 发送 到 另 一 方 ， 发 送 数据 
包 P 时 ,利用 杂凑 链 中 的 一 个 值 x 作为 密 钥 ,计算 发 送 数据 m 的 消息 认证 码 MAC(m,x))， 
随同 消息 一 起 发 送 ,在 下 一 个 数据 包 P, 中 公布 x,， 并 利用 x ,做 上 述 操作 。 接 收 者 在 收 
到 有 后， 首先 利用 xi 来 验证 xp 的 正确 性 ， 即 验证 发 送 者 身份 的 正确 性 ， 然 后 用 x 验 
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证 数据 包 P 的 真实 性 。 


2. 单 钥 体 制 方案 

单 钥 体 制 方案 比较 多 ， 这 里 仅 介绍 比较 典型 的 几 类 方案 。 

(1) 基于 密 钥 池 的 密 钥 预 分 发 方案 。 

最 基本 的 基于 密 钥 池 的 密 钥 预 分 发 方案 (简称 E-G 方案 ) 由 3 个 阶段 组 成 。 第 1 阶 
段 为 密 钥 预 分 发 阶段 。 服 务 器 首先 生成 一 个 密 钥 总 数 为 P 的 大 密 钥 池 及 密 钥 标 识 ， 每 一 
节点 从 密 钥 池 里 随机 选取 k(k<<P) 个 不 同 的 密 钥 。 这 种 随机 预 分 发 方式 使 得 任意 两 个 
节点 能 够 以 一 定 的 概率 存在 着 共享 密 钥 。 第 2 阶段 为 共享 密 钥 发 现 阶段 。 随 机 部 署 后 ， 
两 个 相 邻 节点 若 存 在 共享 密 钥 ， 就 随机 选取 其 中 的 一 个 作为 双方 的 配对 密 钥 ， 否 则 进入 
第 3 阶段 。 第 3 阶段 为 密 钥 路 径 建立 阶段 ， 节 点 通过 与 其 他 存在 共享 密 钥 的 邻居 节点 经 
过 若干 跳 后 建立 双方 的 一 条 密 钥 路 径 。E-G 方案 在 以 下 3 个 方面 满足 和 符合 WSN 的 特 
点 : 一 是 节点 仅 存 储 少量 密 钥 就 可 以 使 网 络 获得 较 高 的 安全 连通 概率 ， 二 是 密 钥 预 分 发 
时 不 需要 节点 的 任何 先 验 信息 (如 节点 的 位 置信 息 、 连 通关 系 等 ); 三 是 部 署 后 节点 间 的 
密 钥 协商 无 须 服务 器 的 参与 ， 使 得 密 钥 管 理 具有 良好 的 分 布 特性 。 

q-composite 随机 密 钥 预 分 发 方案 (q-composite Random Key Pre-distribution Scheme) 是 
对 E-G 方案 的 改进 。 节 点 从 密 钥 总 数 为 尸 的 密 钥 池 里 预 随机 选取 大 个 不 同 的 密 钥 ， 部 署 
后 两 个 相 邻 节点 至 少 需要 共享 4 个 密 钥 才能 直接 建立 配对 密 钥 。 随 着 q 值 的 增 大 ， 攻 击 
者 能 够 破坏 安全 链 路 的 难度 呈 指 数 增加 ， 但 同时 对 节点 的 存储 空间 需求 也 增 大 。 

(2) 基于 密 钥 和 矩阵 的 动态 密 钥 产生 方案 。 

此 方案 利用 一 个 有 限 域 Z; 上 的 (2+DxN 的 公共 和 矩阵 G 和 一 个 (4+1)(4+1) 的 秘密 
和 矩阵 五 为 网 络 中 的 各 个 节点 生成 动态 密 钥 ， 其 中 N 为 网 络 中 节点 数量 。 密 钥 和 矩阵 被 定义 
为 对 称 算 阵 K=(D*G)”*G。 节点 Si TERRIERE G 中 的 第 i 列 column; 作为 公共 信息 ,存储 
矩阵 (D，G)” 中 的 第 i 行 row; 作 为 私有 信息 。 当 两 个 节点 (5;,5)) 协商 密 钥 时 ， 首 先 交换 
公共 信息 column, 和 column; ， 然 后 分 别 计算 密 钥 Ky = row; xcolumnj 和 Kj; = rowjx 
column;， 如 图 11-25 所 示 。 




















































































































A=(D* G)T (D* G)'G 
i G j 
3 HEHHEE % i l= 
— 有 
一 N =- 
A+l1 











图 11-25 ”基于 密 钥 矩阵 的 动态 密 钥 产生 方案 


(3) 基于 多 项 式 的 动态 密 钥 产生 方案 。 
采用 类 似 于 密 乌 年 阵 的 对 称 密 铀 思想 :对 于 一 个 21 次 的 二 元 多 项 式 f(x,y) = 


Y apiy FAG fay) SOA 性质 。 节 点 上 预先 存储 fo) ，; 为 节点 标识 。 一 个 
i,j=0 


网 络 节点 仅 需 要 邻居 节点 的 标识 7 ， 即 可 独立 计算 SGD = SU. 。 该 方式 所 需 的 计算 量 
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大 ， 当 网 络 规模 增 大 时 可 用 性 不 强 。 

(4) 基于 部 署 知识 (Deployment Knowledge) 的 密 钥 管理 方案 。 

基于 部 署 知识 的 密 钥 预 分 发 是 一 种 辅助 方案 ， 可 以 与 其 他 密 钥 方案 相 结合 ， 达 到 优 
化 密 钥 的 预 分 发 方案 性 能 的 目的 。 该 方案 的 基本 思路 是 : 使 网 络 中 近 距 离 节点 大 概率 直 
接连 通 ， 远 距离 节点 小 概率 直接 连通 ， 甚 至 零 概率 连通 。 以 基于 密 钥 池 的 方案 为 例 ， 假 
定 网 络 的 部 署 目标 区 域 是 一 个 二 维和 矩形 区 域 ，m 个 节点 被 分 成 g 个 相等 的 组 ， 每 个 组 有 
n/g 个 节点 ， 如 图 11-26 所 示 。 密 钥 池 〈 密 钥 数 为 |S|) 被 划分 成 若干 个 子 密 钥 池 【〈 密 钥 数 
为 ls)， 每 个 子 密 钥 池 对 应 于 一 个 部 署 组 。 若 两 个 子 密 钥 池 是 水 平 或 垂直 相 邻 ， 则 至 少 
共享 asd ERA: 若 两 个 子 密 钥 池 是 对 角 相 邻 ， 则 至 少 共 享 b|Sd 个 密 钥 (a，5b 满足 以 下 
KAR: O<a, b<0.25 H. 4a+4b%=1)， 若 两 个 子 密 钥 池 不 相 邻 ， 则 没有 共享 密 铀 ， 如 图 11-27 
所 示 。 对 于 组 内 每 一 个 节点 ， 从 对 应 的 子 密 钥 池 随机 取 m 个 不 同 的 密 钥 。 部 署 后 ， 若 相 
邻 节点 存在 共享 密 钥 ， 则 可 以 直接 建立 配对 密 钥 。 这 种 方法 提高 了 节点 的 安全 连通 概率 ， 
在 安全 连通 概率 确定 的 条 件 下 ， 可 以 减少 节点 存储 密 钥 的 数量 ， 从 而 减少 节点 被 俘 时 密 
钥 的 泄漏 ， 最 终 提 高 网 络 的 抗 节 点 俘获 能 力 。 


050 150 250 350 450 550 600 





























图 11-26 节点 部 署 位 置 的 划分 图 11-27 子 密 钥 池 的 重合 关 系 


除了 上 述 代表 性 方案 外 ,还 有 基于 组 合理 论 的 密 钥 分 发 方案 、 基 于 EBS 的 密 钥 分 发 
方案 、LEAP、SPINS、Pebblenets 和 复活 胸 子 模型 等 。 


11.4.2 Ad hoc 网 络 的 安全 路 由 


安全 路 由 协议 的 目标 是 实现 路 由 信息 的 可 用 性 、 真 实 性 、 完 整 性 和 抗 抵赖 性 ， 防 止 
恶意 节点 对 路 由 协议 的 破坏 。 已 有 的 路 由 协议 (DSR, AODV. DSDV 等 ) 均 假设 存在 
安全 的 网 络 环境 ， 这 些 协议 不 能 对 抗 针 对 路 由 的 攻击 。 因 此 ， 研 究 者 在 这 些 协 议 的 基础 
上 ， 应 用 密码 技术 ， 提 出 了 SEAD, Ariadne, ARAN, SAODV 等 安全 路 由 协议 。 这 些 
安全 协议 都 需要 一 些 先决 条 件 ， 如 节点 在 通信 之 前 能 够 交换 初始 参数 、 协 商会 话 密 钥 或 
有 可 信 的 第 三 方 颁发 的 证 书 等 。 在 协议 执行 的 过 程 中 ， 它 们 采用 数字 签名 、 杂 凑 链 及 信 
任 机 制 来 保证 路 由 信息 安全 可 靠 。 


11.4.3 Ad hoc 网 络 的 入 侵 检测 


在 移动 环境 中 ， 并 不 能 很 明确 地 区 分 正常 行为 和 异常 行为 ， 所 以 传统 网 络 中 的 IDS 
技术 不 能 直接 应 用 到 MANET 中 。 针 对 MANET 的 特点 ， 国 际 国内 出 现 了 多 种 入 侵 检测 
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系统 模型 ， 使 用 不 同 的 方法 集中 或 分 散 IDS 的 监测 任务 ， 分 布 式 地 监视 网 络 状况 ， 共 享 
信息 ， 合 作 检 测 入 侵 行为 。 近 来 人 们 提出 的 方案 有 : 中 基于 代理 的 分 布 式 协作 入 侵 检 测 
方案 ; 加 动态 协作 的 入 侵 检 测 方案 ; @ 基 于 时 间 自 动机 的 入 侵 检 测算 法 ，@ 基 于 区 域 划 
分 的 入 侵 检 测 方 案 ; @ 基 于 人 工 免疫 的 入 侵 检 测 方案 等 。 


11.4.4 Ad hoc 网 络 的 信任 建立 


信任 可 分 为 身份 信任 和 行为 信任 。 身 份 信任 是 基于 证 书 或 标识 的 对 实体 身份 的 信任 ， 
行为 信任 是 基于 实体 行为 和 信誉 的 对 实体 能 力 、 可 靠 性 等 属性 的 信任 。 身 份 信任 确保 行 
为 信任 评估 的 安全 性 、 准 确 性 ， 是 后 续 安全 机 制 实施 的 基础 ， 行 为 信任 为 身份 信任 关系 
的 安全 建立 、 更 新 及 撤销 提供 保障 。 身 份 信任 主要 靠 认证 技术 来 实现 ， 但 现 有 的 身份 信 
任 模型 还 存在 很 多 不 完善 的 地 方 。 例 如 ， 不 能 很 好 地 解决 新 加 入 的 网 络 节点 与 其 他 节点 
建立 身份 信任 关系 的 问题 ， 证 书 撤销 的 决策 缺乏 信任 依据 ， 等 等 。 另 外 ， 仅 实现 网 络 节 
点 间 的 身份 信任 也 无 法 完全 解决 Ad hoe 网 络 中 的 路 由 安全 问题 。 例 如 ， 黑 洞 攻击 和 网 络 
中 的 自私 行为 等 问题 仍然 存在 。 行 为 信任 评估 本 质 上 就 是 通过 收集 和 处 理 实体 行为 的 证 
据 信息 获得 经 验 ， 并 以 此 为 依据 做 出 信任 决策 ， 这 是 行为 信任 的 核心 。 目 前 ， 行 为 信任 
技术 包括 可 信 计 算 技术 和 信任 度量 模型 建立 。 现 有 行为 信任 评估 模型 中 普遍 没有 身份 信 
任 和 通信 保密 性 的 保障 ， 很 难 实现 安全 、 准 确 的 信任 评估 。Ad hoc 网 络 的 信任 问题 还 需 
要 进一步 研究 。 











习 A 


一 、 填 空 题 
1. 无 线 网 络 面临 的 安全 威胁 主要 有 
和 CNS AD. 
2. GSM 网 络 由 
和 8 部 分 构成 。 
3. 3G 网 络 中 接 入 链 路 数据 保护 方式 有 两 种 : 和 
4. 802.11i 中 有 和 两 种 加 密 模式 。 
5. 802.1x 系统 中 有 和 3 个 角色 。 
6. 802.16 的 安全 子 层 由 5 和 5 部 
分 组 成 。 
7. WAPI 安全 机 制 由 和 两 部 分 组 成 。 整 个 系统 由 
和 组 成 。 
8. Ad hoc 网 络 的 特点 有 : 3 š í All 
拓扑 结构 有 和 3 种 。 
二 、 简 答题 
1. 无 线 网 络 技术 可 以 分 为 哪 两 大 类 ? 这 两 大 类 中 的 代表 分 别 是 什么 ? 
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. 无 线 局 域 网 络 采 用 哪 两 种 扩 谱 技术 ? 

. GSM 网 络 的 体系 结构 是 怎样 的 ? 简要 描述 GSM 网 络 的 认证 过 程 。 
. 3G 网 络 的 安全 性 由 哪儿 部 分 保证 ? 

. 简要 描述 CDMA 网 络 的 认证 过 程 。 

. 简要 描述 WEP 的 加 /解密 过 程 。 

.802.11i 由 哪儿 部 分 组 成 ? 各 部 分 的 层次 是 怎样 的 ? 

. 802.11i 中 采用 的 TKIP 针对 WEP 做 了 哪些 改进 ? 

. 802.11i 中 两 种 加 密 模 式 的 区 别 是 什么 ? 

. 802.16 的 安全 子 层 由 哪儿 部 分 组 成 ? 各 部 分 的 作用 是 怎样 的 ? 

. 802.1x 系统 中 有 哪 3 个 角色 ， 这 些 角色 是 如 何 相 互 作用 的 ? 

. WAPI 安全 机 制 中 每 部 分 的 作用 是 什么 ? 简 述 具体 过 程 。 

. Ad hoc 网 络 的 保密 与 认证 技术 都 有 哪些 ? 

. 无 线 网 络 面临 的 安全 威胁 主要 包含 哪儿 种 ? 如 何 预防 这 些 威胁 ? 
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第 12 Fe 
防火 墙 技术 


计算 机 安全 本 身 就 是 一 个 难题 ， 要 保证 联网 计算 机 的 安全 性 就 更 加 困难 。 单 台 主机 
的 管理 员 通 过 细心 地 选择 系统 软件 和 加 强 系统 安全 配置 , 也 许 会 使 其 获得 一 定 的 安全 性 。 
但 是 ， 如 果 这 台 主 机 连 到 网 上 ， 情 况 就 大 不 一 样 了 。 


1. 对 计算 机 的 攻击 发 起 点 数量 剧 增 

攻击 单 台 主机 必须 在 能 够 物理 接触 到 的 前 提 下 ， 通 过 鼠标 或 键盘 等 输入 设备 进入 系 
统 。 物 理 接触 这 一 前 提 使 得 潜在 的 攻击 者 只 能 存在 于 一 个 很 小 的 范围 内 。 联 网 主机 则 不 
同 ， 只 要 通过 网 络 能 够 到 达 目 标 主机 ， 就 存在 被 攻击 的 可 能 。 因 特 网 把 全 球 成 千 上 万 的 
主机 连接 到 一 起 ， 假 如 没有 正确 的 防范 ， 任 何人 都 可 以 对 联网 计算 机 进行 攻击 。 


2. 攻击 方式 更 多 ， 破 坏 性 更 强 

单 台 计算 机 受到 攻击 的 方式 不 多 ， 影 响 也 不 太 大 ， 但 是 对 于 联网 的 计算 机 而 言 ， 受 到 
攻击 的 方式 增多 了 ， 邮 件 服务 、 联 网 的 文件 系统 ， 以 及 数据 库 服务 器 都 是 潜在 的 危险 源 ， 
同时 受到 攻击 后 导致 的 后 果 也 更 加 严重 。 比 如 邮件 服务 器 受到 攻击 ， 可 能 导致 所 有 邮件 使 
用 者 无 法 正常 使 用 。 此 外 ， 某 些 协 议 所 采用 的 认证 方式 也 存在 一 定 的 缺陷 〈 可 参考 第 2、3 
章 对 协议 的 描述 )， 但 是 为 了 给 本 地 用 户 提供 相应 的 服务 ， 人 们 还 不 得 不 使 用 它们 。 


3. 网 络 也 暴露 了 计算 机 的 可 传递 信任 问题 

一 台 经 过 安全 设置 的 计算 机 本 身 可 能 是 安全 的 ， 但 与 其 相连 的 其 他 用 户 的 计算 机 可 
是 不 安全 的 。 即 使 这 一 连接 是 经 过 认证 的 ， 并 对 直接 攻击 免疫 ， 但 是 如 果 该 连接 的 源 
头 被 攻破 ， 它 仍然 可 以 成 为 攻击 系统 的 桥头 堡 。 

要 成 功 地 解决 这 些 问 题 ， 有 效 的 解决 方案 是 采用 防火 墙 。 

防火 墙 是 架设 在 内 部 网 络 和 外 部 网 络 之 间 的 屏障 ， 它 限制 内 部 和 外 部 网 络 数据 的 自 
流动 。 如 果 使 用 得 当 ， 防 火 墙 会 大 大 地 提高 网 络 的 安全 性 。 然 而 “世界 上 没有 绝对 的 
东西 ”。 任何 网 络 都 不 具有 绝对 的 安全 性 ， 做 任何 事情 都 要 付出 相应 的 代价 。 网 络 会 给 人 
们 带 来 很 多 好 处 ， 与 网 络 断 开 连 接 意味 着 自动 放弃 这 些 好 处 。 在 实际 应 用 中 ， 管 理 员 可 
权衡 利 次 做 出 决策 。 


T _ 防火 墙 概 述 





























防火 墙 是 由 软件 和 硬件 组 成 的 系统 ， 它 处 于 安全 的 网 络 (通常 是 内 部 局 域 网 ) 和 不 
安全 的 网 络 (通常 是 Internet， 但 不 局 限于 Internet) 之 间 ， 根 据 由 系统 管理 员 设 置 的 访 

















ms 第 ]2 章 防火 墙 技术 msm 


问 控制 规则 ， 对 数据 流 进行 过 滤 。 

于 防火 墙 置 于 两 个 网 络 之 间 ， 因 此 从 一 个 网 络 到 另 一 个 网 络 的 所 有 数据 流 都 要 流 
经 防火 墙 。 根据 安全 策略 , 防火 墙 对 数据 流 的 处 理 方式 有 3 种 : 允许 数据 流通 过 ; @ 拒 
绝 数据 流通 过 ; 图 将 这 些 数据 流 丢 弃 。 当 数据 流 被 拒绝 时 ， 防 火 墙 要 向 发 送 者 回复 一 条 
消息 ， 提 示 发 送 者 该 数据 流 已 被 拒绝 。 当 数据 流 被 丢弃 时 ， 防 火 墙 不 会 对 这 些 数 据 包 进 
行 任何 处 理 ， 也 不 会 向 发 送 者 发 送 任何 提示 信息 。 丢 弃 数 据 包 的 做 法 加 长 了 网 络 扫描 所 
花费 的 时 间 ， 发 送 者 只 能 等 待 回应 直至 通信 超时 。 

防火 墙 是 Internet 安全 的 最 基本 组 成 部 分 。 但 是 ， 我 们 必须 要 牢记 ， 仅 采用 防火 墙 
并 不 能 给 整个 网 络 提供 全 局 的 安全 性 。 对 于 防御 内 部 的 攻击 ， 防 火 墙 显得 无 能 为 力 ， 同 
样 对 于 那些 绕 过 防火 墙 的 连接 (如 某 些 人 通过 拨号 上 网 )， 防 火 墙 则 毫 无 用 武之 地 。 

此 外 ， 网 络 管理 员 在 配置 防火 墙 时 ， 必 须 允 许 一 些 重要 的 服务 通过 ， 否 则 内 部 用 户 
就 不 可 能 接 入 Internet， 也 不 能 收发 电子 邮件 。 事 实 上 ， 虽 然 防火 墙 为 某 些 业务 提供 了 一 
个 通道 ， 但 这 也 为 潜在 的 攻击 者 提供 了 攻击 内 部 网 络 的 机 会 。 攻 击 者 可 能 利用 此 通道 对 
内 部 网 络 发 起 攻击 ， 或 者 注入 病毒 和 木马 。 

于 防火 墙 是 放置 在 两 个 网 络 之 间 的 网 络 安全 设备 ， 因 此 以 下 要 求 必须 得 到 满足 : 

o 所 有 进出 网 络 的 数据 流 都 必须 经 过 防火 墙 。 

e 只 允许 经 过 授权 的 数据 流通 过 防火 墙 。 

o 防火 墙 自身 对 入 侵 是 免疫 的 。 

JER: 以 上 要 求 仅 是 防火 墙 设计 的 基本 目标 。 防 火 墙 设计 不 可 能 做 到 万 无 一 失 ， 它 
有 可 能 存在 安全 漏洞 。 但 是 ， 防 火 墙 在 设计 的 某 个 细节 上 出 现 跤 忽 并 不 意味 着 此 防火 墙 
不 可 用 ， 只 能 说 使 用 了 一 个 安全 性 较 差 的 防火 墙 。 内 部 网 络 之 所 以 需要 防火 墙 的 保护 ， 
是 因为 内 部 网 络 的 大 多 数 主 机 不 具备 抵抗 已 知 攻击 的 能 力 。 在 抵御 攻击 方面 ， 防 火 墙 具 
有 不 可 替代 的 优势 。 

防火 墙 不 是 一 台 普 通 的 主机 , 它 自身 的 安全 性 要 比 普 通 主 机 更 高 。 虽 然 NIS(Network 
Information Service), rlogin 等 服务 能 为 普通 网 络 用 户 提 供 非 常 大 的 便利 ,但 是 应 严禁 防 
火 墙 为 用 户 提供 这 些 危险 的 服务 。 因 此 ， 那 些 与 防火 墙 的 功能 实现 不 相关 但 又 可 能 给 防 
火 墙 自身 带 来 安全 威胁 的 网 络 服务 和 应 用 程序 ， 都 应 当 从 防火 墙 中 剥离 出 去 。 

此 外 ， 网 络 管理 员 在 配置 防火 墙 时 所 采用 的 默认 安全 策略 是 : 凡是 没有 明确 “人 允许 
的 ”服务 ， 一 律 都 是 “禁止 的 ”。 防 火 墙 的 管理 员 不 一 定 比 普通 的 系统 管理 员 高 明 ， 但 他 
们 对 网 络 的 安全 性 更 加 敏感 。 普 通 的 用 户 只 关心 自己 的 计算 机 是 否 安全 ， 而 网 络 管理 员 
关注 的 是 整个 网 络 的 安全 。 网 络 管理 员 通 过 对 防火 墙 进行 精心 配置 ， 可 以 使 整个 网 络 获 
得 相对 较 高 的 安全 性 。 

众所周知 , 防火 墙 能 够 提高 内 部 网 络 的 安全 性 , 但 这 并 不 意味 着 主机 的 安全 不 重要 。 
即使 防火 墙 密 不 透风 ， 且 网 络 管理 员 的 配置 操作 从 不 出 错 ， 网 络 安全 问题 也 依然 存在 ， 
因为 Internet 并 不 是 安全 风险 的 唯一 源泉 ， 有 些 安 全 威胁 就 来 自 网 络 内 部 。 内 部 黑客 可 
能 从 网 络 内 部 发 起 攻击 ， 这 是 一 种 更 加 严重 的 安全 风险 。 除 内 部 攻击 之 外 ， 外 部 攻击 者 
也 企图 穿越 防火 墙 攻 入 内 部 网 络 。 例 如 ， 黑 客 可 以 通过 拨号 经 调制 解 调 器 池 进 入 网 络 ， 
并 从 网 络 内 部 对 防火 墙 和 主机 发 起 攻击 。 因 此 ， 必 须 对 内 部 主机 施加 适当 的 安全 策略 ， 
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以 加 强 对 内 部 主机 的 安全 防护 。 也 就 是 说 ， 在 采用 防火 墙 将 内 部 网 络 与 外 部 网 络 加 以 隔 
离 的 同时 ， 还 应 确保 内 部 网 络 中 的 关键 主机 具有 足够 的 安全 性 。 
一 般 来 说 ， 防 火 墙 由 儿 个 部 分 构成 。 在 图 12-1 中 ,“ 过 滤器 ”用 来 阻 断 某 些 类 型 的 
过 滤器 过 滤器 数据 传输 。 网 关 则 由 一 台 或 几 台 机 器 构成 ， 用 来 
提供 中 继 服务 ， 以 补偿 过 滤器 带 来 的 影响 。 把 网 
关 所 在 的 网 络 称 做 “ 非 军事 区 ”(Demilitarized 
外 部 网 络 Zone, DMZ). DMZ 中 的 网 关 有 时 会 得 到 内 部 网 
关 的 支援 。 通常， 网 关 通 过 内 部 过 滤器 与 其 他 内 
图 12-1 防火 墙 示意 图 部 主机 进行 开放 的 通信 。 在 实际 情况 下 ， 不 是 省 
略 了 过 滤器 就 是 省 略 了 网 关 ， 有 具体 情况 因 防火 墙 
的 不 同 而 异 。 一 般 来 说 ， 外 部 过 滤器 用 来 保护 网 关 免 受 侵害 ， 而 内 部 过 滤器 用 来 防备 因 
网 关 被 攻破 而 造成 恶果 。 单 个 或 两 个 网 关 都 能 够 保护 内 部 网 络 免 遭 攻击 。 通 常 把 暴露 在 
外 的 网 关 主 机 称 做 堡垒 主机 。 目 前 市 场 上 常见 的 防火 墙 都 有 3 个 或 3 个 以 上 的 接口 ， 同 
时 发 挥 了 两 个 过 滤器 和 网 关 的 功能 ， 通 过 不 同 的 接口 实现 DMZ 区 和 内 部 网 络 的 划分 。 
从 某 种 角度 看 ， 这 种 方式 使 防火 墙 的 管理 和 维护 更 加 方便 ， 但 是 一 旦 防火 墙 受到 攻击 ， 
DMZ 和 内 部 网 络 的 安全 性 同时 失去 保障 。 所 以 安全 性 与 易 用 性 往往 相互 矛盾 , 关键 在 于 
使 用 者 的 取舍 。 
实质 上 , 防火 墙 就 是 一 种 能 够 限制 网 络 访问 的 设备 或 软件 。 它 可 以 是 一 个 硬件 的 “ 盒 
子 ”， 也 可 以 是 一 个 “软件 ” 今天， 许多 设备 中 均 含有 简单 的 防火 墙 功 能 ， 如 路 由 器 、 
调制 解 调 器 、 无 线 基站 、 了 P 交换 机 等 。 许 多 流行 的 操作 系统 中 也 含有 软件 防火 墙 。 它 们 
可 以 是 Windows 上 运行 的 客户 端 软件 ， 也 可 能 是 在 UNIX 内 核 中 实现 的 一 系列 过 滤 
规则 。 
现在 市 场 上 销售 的 防火 墙 的 质量 都 非常 高 。 自 Internet 诞生 以 来 ， 防 火 墙 技术 取得 
了 长 足 的 进步 。 用 户 可 以 购买 防火 墙 ， 也 可 以 采用 免费 软件 自己 动手 构造 一 个 软件 防火 
墙 。 但 是 ， 购 买 专业 防火 墙 会 有 很 多 好 处 : 第 一 ， 防 火 墙 厂商 提供 的 接口 会 更 多 、 更 全 ; 
第 二 ， 过 滤 深度 可 以 定制 ， 甚 至 可 以 达到 应 用 级 的 深度 过 滤 : 第 三 ， 可 以 获得 厂商 提供 
的 技术 支持 服务 。 而 用 户 自 行 构造 的 软件 防火 墙 往往 不 具备 以 上 优势 。 


yoo 防火 墙 的 类 型 和 结构 


















防火 墙 从 诞生 至 今 ， 经 过 了 好 几 代 的 发 展 ， 现 在 的 防火 墙 已 经 与 最 初 的 防火 墙 大 不 
相同 了 。 防 火 墙 理 论 仍 在 不 断 完 善 ， 防 火 墙 功能 也 随 着 硬件 性 能 的 提升 而 不 断 增强 。 最 
初 的 防火 墙 依附 于 路 由 器 ， 它 只 是 路 由 器 中 的 一 个 过 滤 模 块 。 后 来 ， 随 着 过 滤 功 能 的 完 
善 和 过 滤 深 度 的 增加 ， 防 火 墙 逐步 从 路 由 器 中 分 离 出 来 ， 成 为 一 个 独立 的 设备 。 目 前 的 
防火 墙 甚至 集成 VPN 及 IDS 等 功能 ， 防 火 墙 在 网 络 安全 中 扮演 的 角色 越 来 越 多 ， 地 位 

迄今 ， 防 火 墙 的 发 展 经历 了 近 30 年 的 时 间 。 第 一 代 防 火 墙 始 于 1985 年 前 后 ， 它 几 
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平 与 路 由 器 同时 出 现 ， 由 Cisco 的 IOS 软件 公司 研制 。 这 一 代 防 火 墙 称 为 包 过 滤 防 火 墙 。 
直到 1988 年 ，DEC 公司 的 Jeff Mogul 根据 自己 的 研究 ， 才 发 表 了 第 一 篇 描述 有 关 包 过 
滤 防 火 墙 过 滤 过 程 的 文章 。 

在 1989—1990 年 前 后 , AT&T 贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 率先 提 
出 了 基于 电路 中 继 的 第 二 代 防 火 墙 结构 ， 此 类 防火 墙 被 称 为 电路 级 网 关 防 火 墙 。 但 是 ， 
他 们 既 没 有 发 表 描 述 这 一 结构 的 任何 文章 ， 也 没有 发 布 基于 这 一 结构 的 任何 产品 。 

第 三 代 防 火 墙 结构 是 在 20 世纪 80 年 代 末 和 20 世纪 90 年 代 初 由 Purdue University 
的 Gene Spafford, AT&T 贝尔 实验 室 的 Bill Cheswick 和 Marcus Ranum 分 别 研究 和 开发 
的 。 这 一 代 防 火 墙 被 称 为 应 用 级 网 关 防火 墙 。 在 1991 年 ，Ranum 的 文章 引起 了 人 们 的 
广泛 关注 。 此 类 防火 墙 采 用 了 在 堡垒 主机 运行 代理 服务 的 结构 。 根据 这 一 研究 成 果 , DEC 
公司 推出 了 第 一 个 商用 产品 SEAL。 

大 约 在 1991 年 , Bill Cheswick 和 Steve Bellovin 开始 了 对 动态 包 过 滤 防 火 墙 的 研究 。 
1992 年 ， 在 USC 信息 科学 学 院 工 作 的 Bob Braden 和 Annette DeSchon 开始 研究 用 于 
“Visas” 系 统 的 动态 包 过 滤 防 火 墙 ， 后 来 它 演变 为 目前 的 状态 检测 防火 墙 。1994 年 ， 以 
色 列 的 Check Point Software 公司 推出 了 基于 第 四 代 结 构 的 第 一 个 商用 产品 。 

关于 第 五 代 防火 墙 ， 目 前 尚未 有 统一 的 说 法 ， 关 键 在 于 目前 还 没有 出 现 获得 广泛 认 
可 的 新 技术 。 一 种 观点 认为 ， 在 1996 年 由 Global Internet Software Group 公司 的 首席 科 
学 家 Scott Wiegel 开始 启动 的 内 核 代理 结构 (Kernel Proxy Architecture) 研究 计划 属于 第 
五 代 防 火 墙 。 还 有 一 种 观点 认为 ， 在 1998 年 由 NAT 公司 推出 的 自 适应 代理 (Adaptive 
Proxy) 技术 给 代理 类 型 的 防火 墙 赋予 了 全 新 的 意义 ， 可 以 称 之 为 第 五 代 防 火 墙 。 


12.2.1 防火墙 分 类 


根据 防火 墙 在 网 络 协议 栈 中 的 过 滤 层 次 不 同 ， 通 常 把 防火 墙 分 为 3 种 : 包 过 滤 防 火 
墙 、 电 路 级 网 关 防 火 墙 和 应 用 级 网 关 防 火 墙 。 每 种 防火 墙 的 特性 均 由 它 所 控制 的 协议 层 
决定 。 在 后 面 更 加 详细 的 论述 中 ， 会 发 现 这 种 分 类 其 实 非常 模糊 。 例 如 ， 包 过 滤 防 火 墙 
运行 于 IP 层 , 但 是 它 可 以 帘 视 TCP 信息 ， 而 这 一 操作 又 发 生 在 电路 层 。 对 于 某 些 应 用 
级 网 关 ， 由 于 设计 原理 自身 就 存在 局 限 性 ， 因 此 它们 必须 使 用 包 过 滤 防 火 墙 的 某 些 
功能 。 

防火 墙 所 能 提供 的 安全 保护 等 级 与 其 设计 结构 息息相关 。 一 般 来 讲 ， 大 多 数 市 面 上 
销售 的 防火 墙 产品 包含 以 下 一 种 或 多 种 防火 墙 结构 : 

e 静态 包 过 滤 
动态 包 过 滤 
电路 级 网 关 
应 用 层 网 关 
状态 检查 包 过 滤 
切换 代理 
FARR 
防火 墙 对 开放 系统 互 连 (Open System Interconnection, OSI) 模型 中 各 层 协 议 所 产生 
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的 信息 流 进行 检查 。 要 了 解 防火 墙 是 哪 种 类 型 的 结构 ， 关 键 是 要 知道 防火 墙 工作 于 OSI 
模型 的 哪 一 层 上 。 图 12-2 给 出 了 OSI 模型 与 防火 墙 类 型 的 关系 。 一 般 来 说 ， 防 火 墙 工作 


于 OSI 模型 的 层次 越 高 ， 其 检查 数据 包 中 的 信息 就 越 多 ， 





因此 防火 墙 所 消耗 的 处 理 





器 工 


作 周 期 就 越 长 。 防 火 墙 检查 的 数据 包 越 靠近 OSI 模型 的 上 层 ， 该 防火 墙 结构 所 提供 的 安 


全 保护 等 级 就 越 高 ， 因 





OSI 模型 


TCP/IP 模 型 


为 在 高 层 上 能 够 获得 更 多 的 信息 用 于 安全 决策 。 





应 用 级 网 关 


应 用 层 








电路 级 网 关 











包 过 滤 








表示 层 





FTP | Telnet | SMTP 


其 他 





会 话 层 
传输 层 
网 络 层 
链 路 层 




















物理 层 











以 太 网 | FDDI 














其 他 








图 12-2 OST 模型 与 防火 墙 类 型 的 关系 


TCP/IP 模型 与 OSI 模型 之 间 的 对 应 关系 如 图 12-2 所 示 。 从 图 中 可 以 看 出 , OSI 模型 
与 TCP/IP 模型 之 间 并 不 存在 一 一 对 应 的 关系 。 防 火 墙 通常 建立 在 TCP/IP 模型 基础 上 。 
为 了 更 深入 地 考察 防火 墙 的 结构 ， 下 面 首先 看 一 下 IP 数据 包 的 构成 。IP 数据 包 结 构 如 
图 12-3 所 示 ， 它 由 以 下 儿 个 部 分 组 成 : 















































IP 头 
TCP 头 
应 用 级 头 
数据 / 净 荷 头 
图 12-4 和 图 12-5 详细 描述 了 IP KAI TCP 头 包 含 的 数据 信息 。 
i ' i 1 1 
| 源 /目的 了 地 址 | 源 /目的 端口 | 应 用 状态 和 数据 流 | 净 荷 ”| 
Pe | TOR 应 用 级 头 数据 
图 12-3 ”数据 包 结构 
[0 4 8 |12 {16 |20 | 24 ES 
1 | 版 本 | IHL | 服务 类 型 整个 数据 包 长 度 
2 识别 符 标志 | 。 分 段 偏 移 值 
号 | 3| 生存 时 间 | ”协议 头 之 校 验 和 3 
三 | 4 数据 源 地 址 2 
5 数据 目的 地 址 
6 选项 填充 
数据 从 这 儿 开始 
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图 12-4 IP 首部 数据 段 
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o [4 Js [2 |16 |20 [24 128 | 
1 数据 源 端口 目的 端口 
2 序列 号 
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图 12-5 TCP 头 部 数据 段 


在 后 面 的 讨论 中 , 不 可 避免 地 要 提 到 UNIX 操作 系统 和 程序 。Internet 上 许多 主机 和 
服务 器 上 运行 的 都 是 UNIX 或 Linux 操作 系统 ， 许 多 应 用 级 网 关 也 采用 UNIX 来 实现 。 
因此 ， 下 面 将 结合 UNIX 或 Linux 系统 下 防火 墙 的 实现 ， 对 某 些 类 型 的 防火 墙 进行 深入 
讨论 。 


12.2.2 网络 地 址 转换 


由 于 亚洲 地 区 不 是 Internet 的 发 源 地 ， 因 此 全 球 IP 地 址 分 配 机 构 为 亚洲 地 区 分 配 的 
IP 地 址 很 少 , 亚洲 国家 的 IP 地 址 资源 相对 匮乏 。 中 国 在 IPv4 的 卫 地 址 的 供需 上 已 严重 
失衡 。 在 使 用 IPv4 编 址 方案 的 情况 下 ， 人 们 已 经 提出 了 解决 地 址 紧缺 的 一 些 方法 ， 如 无 
类 域 间 路 由 (CIDR)、 可 变 长 子 网 掩 码 (VLSM) 及 专用 地 址 加 网 络 地 址 转换 (Network 
Address Translation, NAT) 等 。 正 因为 如 此 ，NAT 已 经 成 为 包 过 滤 网 关 类 防火 墙 的 一 项 
基本 功能 。 使 用 NAT 的 防火 墙 具有 另 一 个 优点 ， 它 可 以 隐藏 内 部 网 络 的 拓扑 结构 ， 这 在 
某 种 程度 上 提升 了 网 络 的 安全 性 。 

从 不 同 的 角度 去 理解 这 一 概念 ，NAT 的 分 类 也 有 所 不 同 。 例 如 ， 有 些 人 把 源 网 络 地 
址 转换 (SNAT) 和 目标 地 址 转换 (DNAT) 的 概念 理解 为 静态 〈Static) 网 络 地 址 转换 和 
动态 (Dynamic) 网 络 地 址 转换 ， 而 有 些 人 却 理解 为 源 〈Source) 网 络 地 址 转换 和 目标 
(Destination) 网 络 地 址 转换 。 此 外 ， 还 存在 端口 地 址 转换 CPAT) 的 概念 。 

所 谓 静 态 网 络 地 址 转换 ， 是 指 在 进行 网 络 地 址 转换 时 ， 内 部 网 络 地 址 与 外 部 的 
Internet IP 地 址 是 一 一 对 应 的 关系 。 例 如 ， 将 内 部 地 址 192.168.1.100 对 应 转换 到 
202.112.58.100。 在 这 种 情况 下 ， 不 需要 NAT 盒 在 地 址 转换 时 记录 转换 信息 。 

动态 网 络 地 址 转换 则 不 同 ， 可 用 的 Internet IP 地 址 限定 在 一 个 范围 内 ， 而 内 部 网 络 
地 址 的 范围 大 于 Internet IP 地 址 的 范围 。 在 进行 地 址 转换 时 , 如 果 Internet IP 地 址 都 被 占 
用 ， 此 时 从 内 部 网 络 地 址 发 出 的 请 求 会 因为 无 地 址 可 分 配 而 遭 到 拒绝 。 显 然 ， 这 种 情形 
无 法 满足 实际 应 用 系统 的 需求 ， 所 以 才 出 现 了 所 谓 的 端口 地 址 转换 PAT) 的 概念 。 

PAT 是 指 在 进行 网 络 地址 转换 时 ， 不 仅 网 络 地 址 发 生 改变 ， 而 且 协议 端口 也 会 发 生 
改变 。 简 单 地 说 ，PAT 在 以 地 址 为 唯一 标识 的 动态 网 络 地 址 转换 基础 上 ， 又 增加 了 源 端 
口 或 目的 端口 号 作为 标识 的 一 部 分 。 在 进行 地 址 转换 时 ，NAT 优先 进行 。 当 合法 IP 地 
址 分 配 完 后 ， 对 于 新 来 的 连接 请 求 ， 会 重复 使 用 前 面 已 经 分 配 过 的 合法 IP. YK NAT 
的 数据 包 通 过 端口 号 加 以 区 分 。 由 于 可 以 使 用 的 端口 范围 为 1024 一 65535， 因 此 一 个 合 
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法 IP 可 以 对 应 于 6 万 多 个 NAT 连接 请 求 ， 通 常 可 以 满足 儿 千 个 用 户 的 需求 。 


当 内 部 用 户 使 用 专用 地 址 访问 Internet 时 , SNAT 必须 将 IP 头 部 中 的 数据 源 地 址 ( 专 
FA IP Sk) 转换 成 合法 的 Internet 地 址 ， 因 为 按照 IPv4 编 址 的 规定 ， 目 标 地 址 为 专用 地 


址 的 数据 包 在 Internet 上 是 无 法 传输 的 。 





当 Internet 用 户 访问 防火 墙 后 面 的 服务 器 所 提供 的 服务 时 , DNAT 必须 将 数据 包 中 的 
目的 地 址 转换 成 服务 器 的 专用 地 址 ， 使 合法 的 Internet IP 地 址 与 内 部 网 络 中 服务 器 的 专 


用 地 址 相对 应 。 内 部 〈 或 专用 ) IP 地 址 的 范围 如 图 12-6 所 示 。 








IP 地 址 范围 总 计 
10.0.0.0~10.255.255.255 224 
172.16.0.0~172.31.255.255 220 
192.168.0.0~192.168.255.255 216 











图 12-6 内 部 (或 专用 ) IP 地 址 的 范围 


静态 网 络 地 址 转换 、 动 态 网 络 地 址 转换 和 端口 地 址 转换 侧重 于 根据 NAT 的 实现 方式 


对 NAT 进行 分 类 ， 而 源 地 址 、 目 标 地址 转换 侧重 于 根据 数据 流向 进行 分 类 。 静 态 网 


络 地 


址 转换 不 需要 维护 地 址 转换 状态 表 ， 功 能 简单 ， 性 能 较 好 。 而 动态 网 络 地 址 转换 和 端口 
地 址 转换 则 必须 维护 一 个 转换 表 ， 以 保证 能 够 对 返回 的 数据 包 进 行 正确 的 反 向 转换 ， 因 








此 功能 更 强大 ， 但 是 需要 更 多 的 资源 。 普 通 边界 路 由 器 也 能 够 实现 地 址 转换 ， 但 E 











内 存 资源 有 限 ,在 中 型 网 络 中 使 用 路 由 器 实现 NAT 功能 通常 不 可 靠 。 如 果 使 用 路 由 


于 其 
器 做 


NAT， 那 么 在 运行 一 段 时 间 (通常 为 几 个 小 时 ) 后 ， 路 由 器 的 资源 将 耗 尽 ， 无 法 继续 工 


作 。 所 以 ， 通 常 的 做 法 是 在 防火 墙 上 实现 NAT 功能 。 


在 实践 中 , 实现 NAT 的 路 由 器 配置 如 图 12-7 所 示 。 在 图 中 , 路 由 器 有 两 个 IP 地 址 : 


;使 用 内 部 IP 地 址 的 内 部 网 络 


— 192.168.10.1 
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or 
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— 192.168.10.3 NAT BR rH BS 
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BN 
路 由 器 的 内 部 了 | 。 ， | 路 由 器 的 外 部 IP 
地 址 地 址 












































图 12-7 实现 NAT 的 路 由 器 配置 
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一 个 是 内 部 卫 地址， 一 个 是 外 部 IP 地 址 。 外 网 (Intemet) 中 的 主机 通过 外 部 IP 地 址 
201.26.7.9 访问 路 由 器 ， 而 内 网 中 的 主机 则 通过 内 部 人 P 地 址 192.168.10.10 访问 路 由 器 。 

这 意味 着 ， 外 网 中 的 主机 永远 只 能 看 到 一 个 IP 地 址 ， 即 路 由 器 的 外 部 IP 地 址 。 当 
数据 包 流 过 路 由 器 时 ， 数 据 包 的 源 地 址 和 目的 地 址 分 别 为 : 

CD 对 于 所 有 输入 数据 包 ， 不 管 最 终 的 目标 主机 是 内 网 中 的 哪 一 台 机 器 ， 当 数据 包 
进入 内 部 网 络 时 ， 其 目的 地 址 字段 总 包含 NAT 路 由 器 的 外 部 地 址 。 
(2) 对 于 所 有 输出 数据 包 ， 不 管 源 点 主机 是 内 部 网 络 中 的 哪 一 台 机 器 ， 当 数据 包 离 
开 内 部 网 络 时 ， 其 源 地址 字段 总 包含 NAT 路 由 器 的 外 部 地 址 。 
因此 ，NAT 路 由 器 要 进行 如 下 转换 工作 : 
(1) 对 于 所 有 的 输入 数据 包 ，NAT 路 由 器 用 最 终 目标 主机 的 IP 地 址 蔡 换 数据 包 的 
目的 地 址 ( 即 路 由 器 的 外 部 地 址 )。 

(2) 对 于 所 有 输出 数据 包 ，NAT 路 由 器 用 其 外 部 地 址 蔡 换 数据 包 的 源 地址 〈 即 发 送 
数据 包 的 内 部 主机 的 IP 地 址 )。 

NAT 转换 过 程 示 例如 图 12-8 所 示 。 
































! 会 内 部 下 地 址 的 内 部 网 络 


— 192.168.10.1 








iS = = 
| 源 地 址 192.168.10.1 | ” 源 地 址 201.26.7.9 


NAT 路 由 器 


192.18.10.10 any 201.26.7.9 — 


| 国 = 
He 目的 地 址 192.168.10.1 ; 目的 地 址 201.26.7.9 


图 12-8 NAT 转换 过 程 示例 


仔细 研究 会 发 现 ， 对 于 输出 数据 包 ，NATI 的 工作 很 简单 : NAT 路 由 器 只 需 用 NAT 
的 外 部 地 址 来 蔡 换 数据 包 中 的 源 地 址 〈 内 部 主机 地 址 )。 但 是 ， 对 于 输入 数据 包 ，NAT 
如 何 知 道 该 将 此 数据 包 发 给 内 网 中 的 哪 一 台 主 机 呢 ? 要 解决 这 个 问题 , NAT 路 由 器 需要 
维护 一 个 转换 表 ， 该 表 将 内 部 主机 的 地 址 映射 到 外 部 主机 的 地 址 。 这 样 ， 一 旦 某 个 内 部 
主机 发 送 一 个 数据 包 给 外 部 主机 ，NAT 路 由 器 就 在 此 转换 表 中 增加 一 个 条 目 。 该 条 目 中 
含有 内 部 主机 的 IP 地 址 及 目标 外 部 主机 的 IP 地 址 。 一 旦 从 外 部 主机 返回 了 一 个 响应 ， 
NAT 路 由 器 便 查 询 转换 表 ， 决 定 将 此 响应 数据 包 发 给 内 网 中 的 哪 台 主 机 。 为 了 增进 读者 
对 NAT 的 理解 ， 下 面 来 看 一 个 示例 。 

(1) 假设 一 台 内 部 主机 (地 址 为 192.168.10.1) 要 向 外 部 主机 〈 地 址 为 210.10.20.20) 
发 送 一 个 数据 包 。 该 内 部 主机 将 该 数据 包 发 送 给 内 部 网 络 , 该 数据 包 将 到 达 NAT 路 由 器 。 
此 时 ， 该 数据 包 的 源 地 址 为 192.168.10.1， 而 目的 地 址 为 210.10.20.20。 

(2) NAT 路 由 器 在 转换 表 中 增添 一 个 条 目 ， 如 表 12-1 所 示 。 
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表 12-1 在 转换 表 中 增加 一 个 新 条 目 
转换 表 





内 部 地 址 外 部 地 址 





192.168.10.1 210.10.20.20 





(3) NAT 
机 制 ,将 此 数据 包 发 送 给 Internet 上 的 目标 主机 。 此 时 ,该 数据 包 的 源 地 址 为 201.26.7.9， 

















而 目的 地 址 为 








路 由 器 用 自己 的 地 址 〈 即 201.26.7.9) 替换 数据 包 中 的 源 地 址 ， 并 利用 路 


210.10.20.20。 











(4) Internet 上 的 外 部 路 由 器 处 理 该 数据 包 ， 并 发 回 一 个 响应 数据 包 。 此 时 ， 该 响应 
数据 包 的 源 地 址 为 210.10.20.20， 而 目的 地 址 为 201.26.7.9。 
(5) 该 响应 数据 包 到 达 NAT 路 由 器 。 因 为 响应 数据 包 中 的 目的 地 址 与 NAT 路 由 器 
的 地 址 匹配 ， 所 以 NAT 路 由 器 查询 转换 表 ， 以 确认 此 转换 表 中 是 否 含有 外 部 地 址 为 
210.10.20.20 的 条 目 。 最 终 ，NAT 路 由 器 找到 了 这 个 条 目 中 含有 的 内 部 主机 地 址 为 





192.168.10.1。 




















(6) NAT 路 由 器 用 内 部 主机 地 址 〈 即 192.168.10.1) 替换 数据 包 的 目的 地 址 ， 并 将 
该 分 组 发 给 该 内 部 主机 。 
NAT 路 由 器 的 工作 过 程 如 图 12-9 所 示 。 


192.168.10.1 210.10.20.20 


加 192.168.10.1 201.26.7.9 im 


= 二 = 


源 地 址 :192.168.10.1 一 -一 源 地 址 :201.26.7.9 
目的 地 址 :210.10.20.20 4777777777777777 ~~--- 目 的 地 址 :210.10.20.20 


在 此 方案 









192.168.10.1 į 210.10.20.20 
=i /192.168.10.1 Pareo |_| 
=| 
— | 4 — | 
源 地 址 :210.10.20.20 | 源 地 址 :210.10.20.20 
目的 地 址 :192.169.10.1 2 目的 地 址 :210.26.7.9 


图 12-9 NAT 路 由 器 的 工作 过 程 





Ph， 如 果 有 多 个 内 部 主机 同时 与 外 网 的 同一 台 主 机 通信 ，NAT 路 由 





器 如 何 


确定 应 该 将 响应 数据 包 发 给 哪 一 台 内 部 主机 呢 ? 要 解决 此 问题 ， 需 要 修改 NAT 转换 表 ， 
添加 几 列 新 的 参数 。 修 改 后 的 NAT 转换 表 如 表 12-2 所 示 。 
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表 12-2 修改 后 的 NAT 转换 表 

















内 部 地 址 内 部 端口 外 部 地 址 外 部 端口 NAT 端口 传输 协议 
192.168.10.1 | 300 210.10.20.20 80 14000 TCP 
192.168.10.1 | 301 210.10.20.20 21 14001 TEP. 
192.168.10.2 | 26601 210.10.20.20 80 14002 TCP 
192.168.10.3 | 1275 207.21.1.5 80 14003 TCP 





新 加 列 在 NAT 中 所 起 的 作用 如 下 所 述 。 

(1) 新 加 的 “内 部 端口 ”一 列 数据 标识 内 部 主机 上 的 应 用 程序 所 使 用 的 端口 号 。 对 
于 每 个 应 用 , 该 端口 是 随机 选取 的 。 当 对 应 于 用 户 请 求 的 响应 数据 包 从 外 网 主机 发 回 时 ， 
内 部 主机 需要 知道 该 把 此 响应 递交 给 哪个 应 用 程序 。 这 将 由 内 部 端口 号 确定 。 

(2) 新 加 的 “外 部 端口 ”一 列 数据 标识 某 一 服务 应 用 程序 所 使 用 的 端口 号 。 对 于 给 
定 的 服务 应 用 程序 ， 该 端口 总 是 固定 的 。 例 如 ，HTTP 服务 使 用 80 端口 ， 而 FTP 服务 使 
用 21 端口 SMTP 使 用 25 端口 ，POP3 使 用 110 端口 ， 等 等 。 

(3) 新 加 的 “NAT 端口 ”一 列 数据 是 一 个 依次 递增 的 数字 ， 由 NAT 路 由 器 生成 。 
该 列 数据 与 源 地 址 或 目的 地 址 绝 无 任 何 关 系 。 当 外 部 主机 发 回 一 个 响应 数据 包 时 ， 此 列 
中 的 数据 才 起 作用 。 

下 面 将 针对 两 种 情况 讨论 NAT 转换 过 程 。 

(1) 同一 内 部 主机 上 的 多 个 应 用 程序 同时 访问 同一 外 部 主机 。 

当地 址 为 192.168.10.1 的 内 部 主机 要 访问 地 址 为 210.10.20.20 的 外 部 主机 上 的 HTTP 
和 FTP 服务 时 ， 内 部 主机 动态 地 创建 两 个 端口 号 300 和 301， 并 打开 两 个 连接 。 这 两 个 
连接 分 别 与 外 部 主机 上 的 端口 号 80 和 21 相连 。 当 数据 包 从 内 部 主机 传 到 路 由 器 时 , NAT 
路 由 器 将 数据 包 中 的 源 地 址 (内 部 主机 地 址 ) 替换 为 NAT 路 由 器 的 地 址 。 此 外 ， 它 还 要 
把 数据 包 的 端口 号 字段 替换 为 14000 和 14001， 并 把 这 些 内 容 添加 到 NAT 转换 表 中 。 然 
后 ， 它 将 此 数据 包 发 给 地 址 为 210.10.20.20 的 外 部 主机 。 

当 外 部 主机 的 HTTP 服务 器 给 NAT 路 由 器 发 回 一 个 响应 数据 包 时 ，NAT 路 由 器 就 
知道 输入 数据 包 的 目的 端口 号 为 14000。 通 过 查询 NAT 转换 表 ， 它 知道 应 该 将 此 数据 包 
发 送 到 地 址 为 192.168.10.1 的 内 部 主机 的 300 端口 。 同 样 ， 当 从 外 部 主机 的 FTP 服务 器 
上 返回 一 个 响应 时 ,NAT 路 由 器 就 知道 该 数据 包 的 目的 端口 为 14001。 通 过 查询 NAT 转 
换 表 ， 它 知道 应 该 将 此 数据 包 发 送 到 地 址 为 192.168.10.1 的 内 部 主机 的 301 端口 。 

(2) 多 个 内 部 主机 同时 访问 同一 外 部 主机 。 

根据 以 上 讨论 ， 读 者 很 容易 理解 NAT 路 由 器 如 何 处 理 此 类 情况 。 表 12-2 的 第 4 行 
有 一 个 条 目 ， 该 条 目 表 明 有 一 个 地 址 为 192.168.10.2 的 内 部 主机 ， 需 要 使 用 26601 端口 
访问 地 址 为 210.10.20.20 的 外 网 主机 上 的 HTTP 服务 。 当 外 部 主机 响应 时 ， 通 过 查询 路 
HX, NAT 路 由 器 将 响应 数据 包 分 发 到 地 址 为 192.168.10.2 的 内 部 主机 的 26601 端口 。 
为 了 完整 地 描述 NAT 存在 的 各 种 情况 ， 在 表 12-2 的 第 5 行 中 ， 给 出 了 另 一 个 内 部 
主机 与 另 一 个 外 部 主机 通信 时 NAT 转换 表 中 所 增加 的 条 目 。 读 者 可 以 自行 分 析 其 工作 
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静态 包 过 滤 防 火 墙 可 以 采用 路 由 器 上 的 过 滤 模块 来 实现 ， 而 且 具 有 较 高 的 安全 性 。 
由 于 可 以 直接 使 用 路 由 器 软件 的 过 滤 功 能 ， 无 须 购买 专门 的 设备 ， 因 此 可 以 减少 投资 。 
路 由 器 是 内 部 网 络 接 入 Intemet 所 必需 的 设备 ， 每 个 网 络 的 入 口 都 配备 路 由 器 。 直 接 使 
用 路 由 器 软件 作为 过 滤器 , 不 需要 额外 付费 。 当 然 , 用 户 也 可 以 购买 专门 的 包 过 滤 防 火 墙 。 

12.3.1 工作 原理 

顾名思义 ， 静 态 包 过 滤 防 火 墙 采用 一 组 过 滤 规 则 对 每 个 数据 包 进行 检查 ， 然 后 根据 
检查 结果 确定 是 转发 、 拒 绝 还 是 丢弃 该 数据 包 。 这 种 防火 墙 对 从 内 网 到 外 网 和 从 外 网 到 
内 网 两 个 方向 的 数据 包 进 行 过 滤 ， 其 过 滤 规 则 基于 IP 与 TCP/UDP 头 中 的 儿 个 字段 。 
图 12-10 说 明了 静态 包 过 滤 防 火 墙 的 设计 思想 。 


















































受 保护 地 区 包 过 滤器 


图 12-10 静态 包 过 滤 防 火 墙 的 设计 思想 
静态 包 过 滤 防 火 墙 的 操作 如 图 12-11 所 示 ， 主 要 实现 如 下 3 个 主要 功能 。 


CEL a 
输出 包 输入 包 
\) 接收 每 个 数据 包 ,应 用 规则 ,如 果 规 则 
不 存在 , 则 应 用 默认 规则 


图 12-11 静态 包 过 滤 防 火 墙 的 操作 


(1) 接收 每 个 到 达 的 数据 包 。 

(2) 对 数据 包 采 用 过 滤 规 则 ， 对 数据 包 的 IP 关 和 传输 字段 内 容 进行 检查 。 如 果 数 据 
包 的 头 信息 与 一 组 规则 匹配 ， 则 根据 该 规则 确定 是 转发 还 是 丢弃 该 数据 包 。 

G) 如 果 没 有 规则 与 数据 包头 信息 匹配 ， 则 对 数据 包 施加 默认 规则 。 默 认 规 则 可 以 
丢弃 或 接收 所 有 数据 包 。 默 认 丢弃 数据 包 规则 更 严格 ， 而 默认 接收 数据 包 规 则 更 开放 。 
通常 ， 防 火 墙 首先 默认 丢弃 所 有 数据 包 ， 然 后 再 逐个 执行 过 滤 规 则 ， 以 加 强 对 数据 包 的 
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静态 包 过 滤 防 火 墙 是 最 原始 的 防火 墙 , 静态 数据 包 过 滤 发 生 在 网 络 层 上 , 也 就 是 OSI 
模型 的 第 3 层 上 ， 如 图 12-12 所 示 。 









































网 络 接口 网 络 接口 
I I 





内 部 网 络 外 部 网 络 
图 12-12 工作 于 网 络 层 的 静态 包 过 滤 
对 于 静态 包 过 滤 防 火 墙 来 说 ， 决 定 接收 还 是 拒绝 一 个 数据 包 ， 取 决 于 对 数据 包 中 人 Pp 
头 和 协议 头等 特定 域 的 检查 和 判定 。 这 些 特定 域 包括 : @ 数 据 源 地 址 ; @ 目 的 地 址 ; @ 应 
用 或 协议 ; @ 源 端口 号 ; @ 目 的 端口 号 。 静态 包 过 滤 防 火 墙 IP 数据 包 结构 如 图 12-13 所 示 。 

















1 1 [i 1 | 
| 源 /目的 IP 地 址 | 源 /目的 端口 | 应 用 状态 和 数据 流 | 净 荷 | 





IP 头 TCP 头 应 用 级 头 数据 





ities 
图 12-13 静态 包 过 滤 防 火 墙 IP 数据 包 结构 

在 每 个 包 过 滤器 上 ， 安 全 管理 员 要 根据 企业 的 安全 策略 定义 一 个 表单 ， 这 个 表单 也 
被 称 为 访问 控制 规则 库 。 该 规则 库 包 含 许多 规则 ， 用 来 指示 防火 墙 应 该 拒绝 还 是 接收 该 
数据 包 。 在 转发 某 个 数据 包 之 前 ， 包 过 滤器 防火 墙 将 IP 头 和 TCP 头 中 的 特定 域 与 规则 
库 中 的 规则 逐条 进行 比较 。 防 火 墙 按照 一 定 的 次 序 扫描 规则 库 ， 直 到 包 过 滤器 发 现 一 个 
特定 域 满足 包 过 滤 规 则 的 特定 要 求 时 ， 才 对 数据 包 做 出 “接收 ”或 “丢弃 ”的 判决 。 如 
果 包 过 滤器 没有 发 现 一 个 规则 与 该 数据 包 匹配 ， 那 么 它 将 对 其 施加 一 个 默认 规则 。 该 默 
认 规 则 在 防火 墙 的 规则 库 中 有 明确 的 定义 ， 一 般 情况 下 防火 墙 将 不 满足 规则 的 数据 包 
EF 

在 包 过 滤器 所 使 用 的 默认 规则 的 定义 上 ， 有 两 种 思路 : OR DH: OREB. 
“容易 使 用 ”的 倡导 者 所 定义 的 默认 规则 是 “人 允许 一 切 ” 即 除非 该 数据 流 被 一 个 更 高 级 
规则 明确 “拒绝 ” 否则 该 规则 允许 所 有 数据 流通 过 。“ 安 全 第 一 ”的 倡导 者 所 定义 的 默 
认 规 则 是 “拒绝 一 切 ” 即 除非 该 数据 流 得 到 某 个 更 高 级 规则 明确 “允许 ”否则 该 规则 
将 拒绝 任何 数据 包 通 过 。 

在 静态 包 过 滤 规 则 库 内 ， 管 理 员 可 以 定义 一 些 规则 决定 哪些 数据 包 可 以 被 接收 ， 哪 
些 数据 包 将 被 拒绝 。 管理 员 可 以 针对 IP 头 信息 定义 一 些 规则 ， 以 拒绝 或 接收 那些 发 往 或 
来 自 某 个 特定 IP 地 址 或 某 一 IP 地 址 范围 的 数据 包 。 管 理 员 可 以 针对 TCP 头 信息 定义 一 
些 规 则 ， 用 来 拒绝 或 接收 那些 发 往 或 来 自 某 个 特定 服务 端口 的 数据 包 。 
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例如 ， 管 理 员 可 以 定义 一 些 规则 ， 人 允许 或 禁止 某 个 IP 地 址 或 某 个 IP 地 址 范围 的 用 
户 使 用 HTTP 服务 浏览 受 保护 的 Web 页 面 。 同样， 管理 员 也 可 以 定义 一 些 规 则 ， 人 允许 某 
个 可 信 的 下 或 全 地 址 范围 内 的 用 户 使 用 SMTP 服务 访问 受 保护 的 Mail 服 务 器 上 的 文件 。 
管理 员 还 可 以 定义 一 些 规则 ， 封 堵 某 个 IP 地 址 或 P 地 址 范围 内 的 用 户 访问 某 个 受 保护 
的 FTP 服务 器 。 图 12-14 为 一 个 静态 包 过 滤 防 火 墙 规则 表 。 该 过 滤 规 则 表决 定 是 允许 转 
发 还 是 丢弃 数据 包 。 

根据 该 规则 表 ， 静 态 包 过 滤 防 火 墙 采取 的 过 滤 动 作 如 下 : 

(1) 拒绝 来 自 130.33.0.0 的 数据 包 ， 这 是 一 种 保守 策略 。 

(2) 拒绝 来 自 外 部 网 络 的 Telnet 服务 (端口 号 为 23) 的 数据 包 。 

(3) 拒绝 试图 访问 内 网 主机 193.77.21.9 的 数据 包 。 

(4) 禁止 HTTP 服务 (端口 号 为 80) 的 数据 包 输出 ， 此 规则 表明 ， 该 公司 不 允许 员 
工 浏览 Internet。 

包 过 滤器 的 工作 原理 非常 简单 ， 它 根据 数据 包 的 源 地 址 、 目 的 地 址 或 端口 号 确定 是 
否 丢 弃 数 据 包 。 也 就 是 说 ， 判 决 仅 依赖 于 当前 数据 包 的 内 容 。 根 据 所 用 路 由 器 的 类 型 ， 
过 滤 可 以 发 生 在 网 络 入 口 处 ， 也 可 以 发 生 在 网 络 出 口 处 ， 或 者 在 入 口 和 出 口 同时 对 数据 
包 进 行 过 滤 。 网 络 管理 员 可 以 事先 准备 好 一 个 访问 控制 列表 ， 其 中 明确 规定 哪些 主机 或 
服务 是 可 接受 的 ， 哪 些 主机 或 服务 是 不 可 接受 的 。 采 用 包 过 滤器 ， 能 够 非常 容易 地 做 到 
在 网 络 层 上 允许 或 拒绝 主机 的 访问 。 例 如 ， 可 以 做 到 允许 主机 4 和 主机 BAU, RAIE 
绝 除 主机 A 之 外 的 其 他 主机 访问 主机 Be 









































Internet 内 部 网 络 
接口 接口 2 
Interface Source IP Source port | Destination IP | Destinatiion port 
1 130.33.0.0 入 + * 
1 * * * 23 
1 * + 193.77.21.9 * 
2 * * * 80 


























图 12-14 ”静态 包 过 滤 防 火 墙 规则 表 


包 过 滤 防 火 墙 的 配置 分 3 步 进行 : 第 一 ， 管 理 员 必须 明确 企业 网 络 的 安全 策略 ， 即 
必须 搞 清楚 什么 是 允许 的 、 什 么 是 禁止 的 ;第 二 ， 必 须 用 逻辑 表达 式 清楚 地 表述 数据 包 
的 类 型 ， 第 三 ， 这 也 是 最 难 的 一 步 ， 必 须 用 设备 提供 商 可 支持 的 语法 重 写 这 些 表达 式 。 

根据 静态 包 过 滤 的 工作 原理 ， 可 以 很 容易 地 构建 一 个 静态 包 过 滤 防 火 墙 。 实 际 上 ， 
制定 精确 的 静态 包 过 滤 规 则 可 能 更 需要 花费 一 番 心 思 。 由 于 每 个 网 站 的 安全 策略 都 不 一 
样 ， 因 此 不 可 能 为 每 个 网 站 使 用 的 包 过 滤器 设置 精确 的 过 滤 规 则 。 在 本 节 中 ， 仅 提供 几 
个 合理 的 规则 配置 样本 供 大 家 参考 。 表 12-3 和 表 12-4 提供 了 两 个 配置 样本 ， 它 们 部 分 
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计算 机 应 急 响 应 中 心 (CERT) 的 建议 书 。 最 后 一 条 规则 的 作用 是 阻止 所 有 
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务 ， 对 这 条 规则 人 们 是 有 争议 的 。 


表 12-3 某 大 学 的 防火 墙 过滤 规 则 设置 


















































































action sre port dest | pot | | flags | comment 

allow | secondary * our-dns 53 TCP |allow secondary nameserver access 
block |* $ bg 53 TCP |no other DNS zone transfers 
allow |* i i 53 UDP |permit UDP DNS queries 

allow |ntp.outside |123 |ntp.inside UDP |ntp time access 

block |* a x UDP |no access to our tftpd 
block |* * * TCP | the link service is often misused 
block |* a a TCP |no TCP RPC and... 

block |* a F UDP |no UDP RPC and no... 

block |* * * NFS. This is hardly a guarantee 
block |* * 时 TCP |TCPNFS is coming: exclude it 
block |* = j 

block |* * bd 

block |* * i 

block |* ea g 

block |* a x 
block_[* soie [6000-6100 [rce | 

allow |* + adminnet eo encrypted access to transcript mgr 
block |* * adminnet i else 

block | pelab-net c ” |TCP [anon. students in pclab can’t go outside 
block | pelab-net a te .. not even with TFTP and the like! 
allow |* = TCP |all other TCP is OK 

block |* " UDP | suppress other UDP for now 

R124 某 公司 的 防火 墙 过 滤 规 则 设置 

action sre port comment 

allow |* * inbound mail access 

allow |* * access to our DNS 

allow * secondary nameserver access 
allow |* * incoming telnet access 

allow 123 ntp.inside 2 external time source 

allow d * outgoing TCP packets are OK 
allow |* = inside-net return ACK packets are OK 
block |* + nothing else is OK 

block |* * block other UDP, too 
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今天 的 校园 网 络 趋向 于 对 Internet 连接 采取 开放 的 安全 策略 。 出 于 安全 的 考虑 ， 仍 
然 需 要 对 某 些 危险 的 服务 施加 限制 ， 如 NFS, TFTP 和 Telnet 等 。 虽 然 这 些 服务 有 时 会 
给 人 们 的 工作 和 学 习 带 来 方便 ， 但 是 它们 会 带 来 更 大 的 安全 隐患 ， 因 此 尽量 减少 对 外 提 
供 这 些 服务 。 在 表 12-3 中 ， 假 设 大 学 中 有 一 个 实验 室 PC Lab， 若 允许 该 实验 室 的 主机 
访问 Intermnet， 可 能 会 带 来 安全 风险 。 因 此 ， 在 网 络 管理 员 在 配置 防火 墙 规则 时 ， 应 禁止 
该 实验 室 的 主机 访问 Internet。 还 有 一 条 规则 允许 通过 HTTPS 服务 访问 管理 域 中 的 计算 
机 。 该 服务 采用 443 端口 ， 需 要 强 认证 和 加 密 措施 。 

与 校园 网 络 不 同 ， 许 多 公司 或 家 庭 的 网 络 希 望 禁 止 大 多 数 来 自 Internet 的 访问 ， 而 
允许 大 多 数 去 往 Internet 的 连接 请 求 。 在 这 类 网 络 中 ， 可 以 让 一 个 网 关 接 收 进 入 内 网 的 
邮件 ， 并 为 公司 的 内 部 主机 提供 域名 解析 服务 。 在 表 12-4 中 ， 采 用 了 一 条 规则 禁止 23 
号 端口 上 的 Telnet 服务 。 如 果 公司 的 邮件 服务 器 和 DNS 服务 器 交 由 ISP 托管 , 那么 可 以 
进一步 简化 这 些 规则 。 


12.3.2 ”安全 性 讨论 


因为 防火 墙 对 这 些 规则 的 检查 是 按 顺序 进行 的 ， 所 以 决定 包 过 滤 规 则 的 先后 次 序 是 
一 项 很 困难 的 事情 。 在 把 包 过 滤 规 则 输入 到 规则 库 时 ， 管 理 员 必须 要 特别 小 心 。 即 使 管 
理 员 已 经 按照 一 定 的 先后 次 序 创建 了 规则 ， 包 过 滤器 还 存在 先天 的 缺陷 : 包 过 滤器 仅 检 
查 数据 的 IP 头 和 TCP 头 ， 它 不 可 能 区 分 真实 的 IP 地 址 和 伪造 的 卫 地 址 。 若 一 个 伪造 的 
IP 地 址 满足 包 过 滤 规 则 ， 并 同时 满足 其 他 规则 的 要 求 ， 则 该 数据 包 将 被 允许 通过 。 

假设 管理 员 精 心 创建 了 一 条 规则 ， 该 规则 指示 数据 包 过 滤器 丢弃 所 有 来 自 未 知 源 地 
址 的 数据 包 。 这 条 包 过 滤 规 则 虽然 会 极 大 地 增 大 黑客 访问 某 些 可 信服 务 器 的 难度 ， 但 并 
不 能 彻底 杜绝 这 类 访问 。 黑 客 只 须 用 某 个 已 知 可 信 客 户 机 的 源 地 址 替代 恶意 数据 包 的 实 
际 源 地 址 就 可 以 达到 目的 。 把 这 种 形式 的 攻击 称 为 IP 地 址 欺骗 CIP Address Spoofing). 
用 IP 地 址 欺骗 攻击 来 对 付 包 过 滤 防 火 墙 是 非常 有 效 的 。 美 国 计 算 机 应 急 响 应 中 心 
(CERT) 已 经 收 到 大 量 IP 欺骗 攻击 的 报告 ,报告 显示 许多 攻击 已 成 功 侵 入 网 络 。 尽 管 包 
过 滤 防 火 墙 的 性 能 非常 具有 吸引 力 ， 但 是 包 过 滤 防 火 墙 的 固有 结构 决定 了 其 安全 性 不 够 
高 ， 那 些 水 平 高 超 的 黑客 有 可 能 穿越 包 过 滤 防 火 墙 而 进入 受 保护 的 内 部 网 络 。 
同样 ， 我 们 注意 到 静态 包 过 滤 防 火 墙 并 没有 对 数据 包 做 太 多 的 检查 。 请 记 住 ， 静 态 
包 过 滤 防 火 墙 仅 检查 那些 特定 的 协议 头 信 息 : @ 源 /目的 IP 地址 ; © 源 /目的 端口 号 ( 服 
务 )。 因 此 ， 黑 客 可 将 恶意 的 命令 或 数据 隐藏 在 那些 未 经 检查 的 头 信息 中 。 更 危险 的 是 ， 
由 于 静态 包 过 滤 防 火 墙 没 有 检查 数据 包 的 净 荷 部 分 ， 使 黑客 有 机 会 将 恶意 的 命令 或 数据 
隐藏 到 数据 净 荷 中 。 这 一 攻击 方法 通常 被 称 做 “ 隐 信 道 攻击 ”(Covert Channel Attack). 
目前 ， 这 种 形式 的 攻击 越 来 越 多 ， 必 须 加 倍 小 心 。 

最 后 需 说 明 的 是 ， 包 过 滤 防 火 墙 并 没有 “状态 感知 ”(State Aware) 的 能 力 。 管 理 员 
必须 为 某 个 会 话 的 两 端 都 配置 相应 的 规则 以 保护 服务 器 。 例 如 ， 要 允许 用 户 访问 某 个 受 
保护 的 Web 服务 器 ， 管 理 员 必 须 创 建 一 条 规则 ， 该 规则 既 允 许 来 自 远 端 客户 机 的 请 求 进 
入 内 部 网 络 ， 又 允许 来 自 Web 服务 器 的 响应 去 往 Internet。 值 得 注意 的 是 ， 现 在 人 们 在 
使 用 FTP 和 E-mail 等 服务 时 ， 需 要 静态 包 过 滤 防 火 墙 能 够 动态 地 为 这 些 服务 分 配 端口 ， 


340 
































me 第 12 章 防火 墙 技术 mm 


所 以 管理 员 必须 为 静态 包 过 滤 规 则 打开 所 有 的 端口 。 

静态 包 过 滤 防 火 墙 有 如 下 优点 。 

(1) 对 网 络 性 能 有 较 小 的 影响 。 由 于 包 过 滤 防 火 墙 只 是 简单 地 根据 地 址 、 协 议和 端 
口 进 行 访问 控制 ， 因 此 对 网 络 性 能 的 影响 比较 小 。 只 有 当 访问 控制 规则 比较 多 时 ， 才 会 
感觉 到 性 能 的 下 降 。 

(2) 成 本 较 低 。 路 由 器 通常 集成 了 简单 包 过 滤 的 功能 ， 基 本 上 不 再 需要 单独 的 防火 
墙 设备 实现 静态 包 过 滤 功 能 ， 因 此 从 成 本 方面 考虑 ， 简 单 包 过 滤 的 成 本 非常 低 。 

静态 包 过 滤 防 火 墙 有 如 下 缺点 。 

(1) 安全 性 较 低 。 由 于 包 过 滤 防 火 墙 仅 工作 于 网 络 层 ， 其 自身 的 结构 设计 决定 了 它 
不 能 对 数据 包 进 行 更 高 层 的 分 析 和 过 滤 。 因 此 , 包 过 滤 防 火 墙 仅 提供 较 低 水 平 的 安全 性 。 

(2) 缺少 状态 感知 能 力 。 一 些 需 要 动态 分 配 端 口 的 服务 需要 防火 墙 打开 许多 端口 ， 
这 就 增 大 了 网 络 的 安全 风险 ， 从 而 导致 网 络 整体 安全 性 不 高 。 

(3) 容易 遭受 IP 欺骗 攻击 。 由 于 简单 的 包 过 滤 功 能 没有 对 协议 的 细节 进行 分 析 ， 因 
此 有 可 能 遭受 IP 欺骗 攻击 。 

(4) 创建 访问 控制 规则 比较 困难 。 包 过 滤 防 火 墙 由 于 缺少 状态 感知 的 能 力 而 无 法 识 
别 主 动 方 与 被 动 方 在 访问 行为 上 的 差别 。 要 创建 严密 有 效 的 访问 控制 规则 ， 管 理 员 需 要 
认真 地 分 析 和 研究 一 个 组 织 机 构 的 安全 策略 ， 同 时 必须 严格 区 分 访问 控制 规则 的 先后 次 
序 ， 这 对 于 新 手 而 言 是 一 个 比较 困难 的 问题 。 
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动态 包 过 滤器 是 最 普遍 使 用 的 一 种 防火 墙 技术 ， 既 具有 很 高 的 安全 性 ， 又 具有 完全 
的 透明 性 。 动 态 包 过 滤器 的 设计 目标 是 允许 所 有 的 客户 端 软件 不 加 修改 即 可 工作 ， 并 让 
网 络 管理 员 仍然 对 流 过 防火 墙 的 数据 流 施加 完全 的 控制 。 静 态 包 过 滤 防 火 墙 的 规则 表 是 
固定 的 ， 而 动态 包 过 滤 防 火 墙 可 以 根据 网 络 当前 的 状态 检查 数据 包 ， 即 根据 当前 所 交换 
的 信息 动态 调整 过 滤 规 则 表 。 


12.4.1 工作 原理 


动态 ORAS) 包 过 滤器 是 在 静态 包 过 滤 防 火 墙 的 基础 上 发 展 而 来 的 。 由 于 动态 包 过 
滤 防 火 墙 继承 了 静态 包 过 滤 防 火 墙 的 某 些 特征 ， 因 此 它 具 有 静态 包 过 滤 防 火 墙 固有 的 许 
多 不 足 。 但 是 ， 动 态 包 过 滤 防 火 墙 与 静态 包 过 滤 防 火 墙 有 显著 的 不 同 ， 即 它 具 有 “状态 
感知 ”的 能 力 。 

典型 的 动态 包 过 滤 防 火 墙 也 和 静态 包 过 滤 防 火 墙 一 样 ， 都 工作 在 网 络 层 ， 即 OSI 模 
型 的 第 3 层 。 更 先进 的 动态 包 过 滤 防 火 墙 可 以 在 OSI 的 传输 层 (第 4 层 ) 上 工作 。 在 传 
输 层 上 ， 动 态 包 过 滤 防 火 墙 可 以 收集 更 多 的 状态 信息 ， 从 而 增加 过 滤 的 深度 。 工 作 于 传 
输 层 的 动态 包 过 滤 防 火 墙 如 图 12-15 所 示 。 
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内 部 网 络 外 部 网 络 
图 12-15 工作 于 传输 层 的 动态 包 过 滤 防 火 墙 


通常 ， 动 态 包 过 滤 防 火 墙 做 出 转发 还 是 丢弃 一 个 数据 包 的 判断 ， 取 决 于 对 数据 包 的 
IP 头 和 协议 头 的 检查 。 动 态 包 过 滤 防 火 墙 所 检查 的 数据 包头 信息 包括 : @ 数 据 源 地 址 ; 
@ 目 的 地 址 ，@ 应 用 或 协议 ，@ 源 端口 号 ; @ 目 的 端口 号 。 

动态 包 过 滤 防 火 墙 在 对 数据 包 的 过 滤 方 面 ， 呈 现 出 与 普通 包 过 滤 防 火 墙 非常 相似 的 
特征 。 如 果 数 据 包 满足 规则 ， 如 数据 包 的 端口 号 或 IP 地 址 是 可 接受 的 ， 则 被 允许 通过 。 
但 动态 包 过 滤 防 火 墙 与 普通 的 包 过 滤 防 火 墙 相 比 ， 还 有 一 个 不 同 点 : 它 首先 对 外 出 的 数 
据 包 身份 进行 记录 ， 此 后 车 有 相同 连接 的 数据 包 进 入 防火 墙 ， 它 就 直接 允许 这 些 数 据 包 
通过 。 

例如 , 动态 包 过 滤 防 火 墙 的 一 条 规则 是 : 如 果 从 外 网 输入 防火 墙 的 TCP 数据 包 是 对 
从 内 网 发 出 的 TCP 数据 包 的 回应 ， 则 允许 这 些 TCP 数据 包 通 过 防火 墙 。 由 此 可 以 看 出 ， 
动态 包 过 滤 防 火 墙 直接 对 “连接 ”进行 处 理 ， 而 不 是 仅 对 数据 包头 信息 进行 检查 。 因 此 ， 
它 可 以 用 来 处 理 UDP 和 TCP. BHE UDP 缺少 ACK 标志 位 ， 它 也 可 以 对 其 进行 过 滤 。 

注意 : 动态 包 过 滤 防 火 墙 需 要 对 已 建 连接 和 规则 表 进 行动 态 维护 ， 因 此 它 是 动态 的 
和 有 状态 的 。 动 态 包 过 滤 防 火 墙根 据 规则 表 对 数据 包 进行 过 滤 ， 图 12-16 显示 了 其 工作 
原理 。 

简 而 言 之 ， 典 型 的 动态 包 过 滤 防 火 墙 能 够 感觉 到 新 建 连接 与 已 建 连接 之 间 的 差别 。 
一 旦 连接 建立 , 它 就 会 将 该 连接 的 状态 记 于 RAM 中 的 一 个 表单 中 。 后 续 的 数据 包 与 RAM 
表单 中 的 状态 信息 进行 比较 ， 这 一 比较 由 操作 系统 内 核 层 的 软件 实现 。 当 动态 包 过 滤 防 
火 墙 发 现 进来 的 数据 包 是 已 建 连接 的 数据 包 时 ， 就 会 允许 该 数据 包 直 接 通过 而 不 做 任何 
检查 。 由 于 避免 了 对 进入 防火 墙 的 每 个 数据 包 都 进行 规则 库 的 检查 ， 并 且 在 内 核 层 实现 
了 数据 包 与 已 建 连接 状态 的 比较 ， 因 此 动态 包 过 滤 防 火 墙 的 性 能 比 静态 包 过 滤 防 火 墙 的 
性 能 有 很 大 的 提高 。 

在 概念 上 ， 实 现 动 态 包 过 滤器 有 两 种 主要 的 方式 。 一 种 方式 是 实时 地 改变 普通 包 过 
滤器 的 规则 集 。 许 多 采用 这 种 方式 的 防火 墙 实 现 不 是 非常 令 人 满意 。 包 过 滤器 的 规则 集 
的 创建 是 一 项 非常 细致 的 工作 ， 而 且 规则 的 次 序 也 很 重要 。 我 们 通常 搞 不 清楚 对 规则 集 
所 做 的 哪些 改变 是 有 利 的 ， 哪 些 改变 是 有 害 的 。 

此 外 ， 还 有 另 一 种 实现 动态 包 过 滤 防 火 墙 的 方式 。 此 方式 不 需要 检查 规则 表 ， 而 是 
采用 类 似 电路 级 网 关 的 方式 转发 数据 包 。 所 有 进入 防火 墙 的 呼叫 连接 将 终止 于 防火 墙 ， 
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然后 防火 墙 再 与 目标 主机 建立 新 的 连接 。 防 火 墙 在 两 个 连接 之 间 来 回复 制 数据 。 
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图 12-16 动态 包 过 滤 防 火 墙 的 工作 原理 

为 了 搞 清 其 工作 原理 ， 下 面 再 来 回忆 一 下 TCP 连接 建立 的 过 程 。 一 个 TCP 连接 可 
以 用 以 下 4 个 标准 参数 来 描述 : 

<localhost, localport, remotehost, remoteport> 

但 是 , remotehost 不 必 是 一 台 特 定 的 机 器 , 它 可 以 是 声明 使 用 此 IP 地 址 的 任何 进程 。 
采用 此 设计 的 防火 墙 可 以 用 任意 的 主机 地 址 作为 回应 。 当 防火 墙 继续 向 真正 的 目标 主机 
发 起 连接 请 求 的 时 候 ， 它 可 以 使 用 主 叫 的 TP 地 址 ， 而 不 采用 其 真实 的 IP 地 址 作为 回应 。 
动态 包 过 滤 防 火 墙 发 起 重新 连接 示意 图 如 图 12-17 所 示 。 
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图 12-17 动态 包 过 滤 防 火 墙 发 起 重新 连接 示意 图 


在 图 12-17 中 ， 虚 线 箭头 表示 意向 连接 ， 实 线 箭头 表示 真实 的 连接 。 防 火 墙 在 中 间 
起 着 中 继 数 据 包 的 作用 。 对 通信 双方 来 说 ， 防 火 墙 既是 通信 的 起 点 ， 也 是 通信 的 终点 。 
防火 墙 对 连接 的 识别 不 仅 基 于 以 上 4 个 标准 参数 ， 而 且 基于 网 络 接口 。 


12.4.2 ”安全 性 讨论 
前 面 曾 提 到 ， 普 通 的 包 过 滤器 存在 一 定 的 局 限 性 。 由 于 某 些 动态 包 过 滤器 增添 了 许 
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多 新 的 功能 ， 从 而 有 效 地 解决 了 普通 包 过 滤 防 火 墙 存在 的 问题 。 

在 这 些 问题 中 ， 人 们 最 关注 FTP 数据 通道 的 安全 问题 。 在 对 特定 应 用 缺乏 了 解 的 前 
提 下 ， 防 火 墙根 本 不 可 能 透明 地 处 理 FTP 服务 。 因 此 ， 动 态 包 过 滤 防 火 墙 通常 要 对 21 
号 端口 的 连接 CAD FTP 命令 通道 ) 进行 特别 处 理 。 动 态 包 过 滤 防 火 墙 首先 对 命令 数据 流 
进行 扫描 ， 然 后 用 PORT 命令 的 各 种 参数 更 新 过 滤器 规则 表 。 若 动态 包 过 滤器 限制 内 网 
的 数据 包 流出 ， 它 也 应 该 对 PASV 命令 做 相同 的 处 理 。 

对 于 RPC、H.323 及 同类 协议 ， 动 态 包 过 滤 防 火 墙 也 采取 相似 的 策略 。 通 过 检查 数 
据 包 的 内 容 ， 防 火 墙 可 以 控制 内 部 〈 或 外 部 ) RPC 服务 的 调用 。 换 言 之 ,动态 包 过 滤 防 
火 墙 已 经 跳出 了 狭义 的 数据 包 过 滤 的 概念 ， 步 入 了 “连接 过 滤 ” 的 范畴 。 

在 现实 中 ， 动 态 包 过 滤 防 火 墙 主要 在 以 下 两 个 方面 存在 性 能 上 的 差异 。 

A) 是 否 支持 对 称 多 处 理 技术 (Symmetrical Multi-Processing，SMP)。SMP 是 指 在 
一 个 计算 机 上 汇集 了 一 组 处 理 器 (多 个 CPU)， 各 个 CPU 之 间 共 享 内 存 子 系统 及 总 线 结 
构 。 它 是 相对 非 对 称 多 处 理 技术 而 言 的 应 用 十 分 广泛 的 并 行 技术 。 在 防火 墙 设计 中 采用 
此 技术 可 以 大 大 提高 防火 墙 的 性 能 。 

在 编写 防火 墙 软件 时 ,如果 采用 了 SMP 技术 , 那么 每 增加 一 个 处 理 器 就 会 使 防火 墙 
的 性 能 提高 30%。 很 遗憾 ,当前 许多 动态 包 过 滤 防 火 墙 的 实现 方案 均 以 单线 程 进程 工作 ， 
不 能 充分 利用 SMP 的 优势 , 为 了 克服 单线 程 带 来 的 性 能 限制 , 许多 防火 墙 厂家 采用 强大 
量 昂 贵 的 基于 精简 指令 集 (Reduced Instruction Set Computing, RISC) 的 处 理 器 ， 以 获 
取 高 性 能 。 随 着 处 理 器 性 能 的 提高 及 多 处 理 器 服务 器 的 广泛 应 用 ， 单 线程 的 局 限 性 已 经 
非常 明显 。 例 如 ， 在 昂贵 的 RISC 服务 器 上 运行 防火 墙 软件 只 能 达到 150Mb/s 的 动态 包 
过 滤 吞 吐 率 , 而 在 廉价 的 Intel 多 处 理 器 服务 器 上 运行 防火 墙 软件 可 以 获得 600Mb/s 以 上 

(2) 体现 在 连接 建立 的 方式 上 。 儿 乎 每 个 防火 墙 厂商 都 在 建立 连接 表 (Connection 
Table) 方面 有 自己 的 专利 技术 。 但 是 ， 除 了 上 面 讨论 的 区 别 之 外 ， 动 态 包 过 滤 防 火 墙 的 
基本 操作 在 本 质 上 都 是 相同 的 。 

为 了 突破 基于 单线 程 的 动态 包 过 滤 防 火 墙 的 性 能 极限 ， 有 些 厂 家 在 防火 墙 建立 连接 
时 采取 了 非常 危险 的 技术 方案 。RFC 草案 建议 防火 墙 在 3 步 握手 协议 完成 后 才能 建立 连 
接 ， 而 有 些 厂 家 并 没有 采用 REC 的 建议 ， 他 们 设计 的 防火 墙 在 接收 到 第 一 个 SYN 数据 
包 时 就 打开 一 个 新 的 连接 。 实 际 上 ， 这 一 设计 将 使 防火 墙 后 面 的 服务 器 容易 遭 到 伪装 人 P 
地 址 攻击 。 

黑客 发 动 的 匿名 攻击 有 时 更 具有 和 危险 性 。 与 静态 包 过 滤 防 火 墙 相似 ， 假 设 管理 员 为 
防火 墙 创 建 了 一 条 规则 ， 指 示 包 过 滤器 丢弃 所 有 包含 未 知 源 地 址 的 数据 包 。 这 条 规则 虽 
然 使 黑客 的 攻击 变 得 非常 困难 , 但 是 黑客 仍然 可 以 采用 合法 的 中 地 址 访问 防火 墙 后 面 的 
服务 器 。 黑 客 可 以 将 恶意 数据 包 中 的 源 地 址 蔡 换 成 某 个 可 信 客 户 机 的 源 地 址 。 在 此 攻击 
方法 中 ， 黑 客 必 须 采 用 可 信 主 机 的 IP 地 址 ， 并 通过 3 步 握手 建立 连接 。 

如 果 防 火 墙 厂商 没有 在 连接 建立 的 过 程 中 采用 REC 草案 的 建议 , 即 没有 执行 3 步 握 
手 协议 就 打开 了 一 条 连接 ， 黑 客 就 可 以 伪装 成 一 台 可 信 的 主机 ， 对 防火 墙 或 受 防火 墙 保 
护 的 服务 器 发 动 单数 据 包 攻 击 (Single-Packet Attack)， 而 黑客 却 完全 保持 匿名 。 对 于 管 
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理 员 来 说 ， 他 们 并 不 清楚 所 使 用 的 防火 墙 产品 具有 此 种 缺陷 。 长 期 以 来 ， 各 种 单数 据 包 
Bot Cal LAND, Ping of Death 和 Tear Drop 等 ) 一 直 困扰 着 管理 员 。 一 旦 管理 员 知道 了 
防火 墙 设计 上 存在 缺陷 ， 他 们 就 不 会 对 发 生 上 述 攻 击 感到 吃惊 。 

总 之 ， 动 态 包 过 滤 防 火 墙 的 优点 如 下 所 述 : 

a) 当 动 态 包 过 滤 防 火 墙 设计 采用 SMP 技术 时 ， 对 网 络 性 能 的 影响 非常 小 。 采 用 
SMP 的 系统 架构 ， 防 火 墙 可 以 由 不 同 的 处 理 器 分 担 包 过 滤 处 理 任务 。 即 使 在 主干 网 络 上 
使 用 动态 包 过 滤 防 火 墙 ， 它 也 可 以 满足 主干 网 络 对 防火 墙 性 能 的 需求 。 

(2) 动态 包 过 滤 防 火 墙 的 安全 性 优 于 静态 包 过 滤 防 火 墙 。 由 于 具有 了 “状态 感知 ” 
能 力 ， 所 以 防火 墙 可 以 区 分 连接 的 发 起 方 与 接收 方 ， 也 可 以 通过 检查 数据 包 的 状态 阻 断 
一 些 攻 击 行 为 。 与 此 同时 ， 对 于 不 确定 端口 的 协议 数据 包 ， 防 火 墙 也 可 以 通过 分 析 打 开 
相应 的 端口 。 防 火 墙 所 具备 的 这 些 能 力 使 其 安全 性 有 了 很 大 的 提升 。 

(3) 动态 包 过 滤 防 火 墙 的 “状态 感知 ”能 力也 使 其 性 能 得 到 了 显著 提高 。 由 于 防火 
墙 在 连接 建立 后 保存 了 连接 状态 ， 当 后 续 数 据 包 通过 防火 墙 时 ， 不 再 需要 复杂 的 规则 匹 
配 过 程 ， 这 就 减少 了 由 于 访问 控制 规则 数量 的 增加 对 防火 墙 性 能 造成 的 影响 ， 因 此 其 性 
能 比 静 态 包 过 滤 防 火 墙 好 很 多 。 

(4) 如 果 不 考虑 所 采用 的 操作 系统 的 成 本 ， 动 态 包 过 滤 防 火 墙 的 成 本 也 很 低 。 

动态 包 过 滤 防 火 墙 的 缺点 如 下 所 述 : 

(1) 仅 工 作 于 网 络 层 ， 因 而 仅 检查 卫 KA TCP ko 

(2) 由 于 没有 对 数据 包 的 净 荷 部 分 进行 过 滤 ， 因 此 仍然 具有 较 低 的 安全 性 。 

(3) 容易 遭受 伪装 IP 地址 欺骗 攻击 。 

(4) 难于 创建 规则 ， 管 理 员 创建 规则 时 必须 要 考虑 规则 的 先后 次 序 。 

(5) 如 果 动 态 包 过 滤 防 火 墙 连接 在 建立 时 没有 遵循 RFC 建议 的 3 步 握手 协议 ， 就 会 
引入 额外 的 风险 。 如 果 防 火 墙 在 连接 建立 时 仅 使 用 两 次 握手 ， 很 可 能 导致 防火 墙 在 DoS/ 
DDoS 攻击 时 因 耗 尽 所 有 资源 而 停止 响应 。 


425 ”电路 级 网 关 
































于 简单 包 过 滤 防 火 墙 的 缺点 十 分 明显 ， 因 此 后 人 提出 了 所 谓 电路 级 网 关 的 理论 。 
然而 ， 电 路 级 网 关 理 论 并 没有 获得 很 大 的 进展 ， 目 前 通常 作为 应 用 代理 服务 器 的 一 部 分 
在 应 用 代理 类 型 的 防火 墙 中 实现 。 

电路 级 网 关 又 称 做 线路 级 网 关 ， 当 两 个 主机 首次 建立 TCP 连接 时 ,电路 级 网 关 在 两 
个 主机 之 间 建立 一 道 屏障 。 电 路 级 网 关 的 作用 就 好 像 一 台中 继 计算 机 ， 用 来 在 两 个 连接 
之 间 来 回 地 复制 数据 ， 也 可 以 记录 或 缓存 数据 。 此 方案 采用 CS 结构 ， 网 关 充 当 了 服务 
器 的 角色 ， 而 内 部 网 络 中 的 主机 充当 了 客户 机 的 角色 。 当 一 个 客户 机 希望 连接 到 某 个 服 
务 器 时 ， 它 首先 要 连接 到 中 继 主机 上 ， 然 后 ， 中 继 主 机 再 连接 到 服务 器 上 。 对 服务 器 来 
说 ， 该 客户 机 的 名 称 和 IP 地 址 是 不 可 见 的 。 

当 有 来 自 Intemet 的 请 求 进入 时 ， 它 作为 服务 器 接收 外 来 请 求 ， 并 转发 请 求 。 当 有 
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内 部 主机 请 求 访问 Internet 时 ， 它 则 担当 代理 服务 器 的 角色 。 它 监视 两 主机 建立 连接 时 
的 握手 信息 ， 如 SYN, ACK 和 序列 号 等 是 否 合乎 逻辑 ， 判 定 该 会 话 请 求 是 否 合法 。 在 
有 效 会 话 连接 建立 后 ， 电 路 级 网 关 仅 复制 、 传 递 数据 ， 而 不 进行 过 滤 。 电 路 级 网 关 的 工 
作 原理 如 图 12-18 所 示 。 在 图 12-18 中 ， 电 路 级 网 关 仅 用 来 中 继 TCP 连接 。 为 了 增强 安 
全 性 ， 电 路 级 网 关 可 以 采取 强 认 证 措施 。 
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图 12-18 ”电路 级 网 关 的 工作 原理 


在 整个 过 程 中 , IP 数据 包 不 会 实现 端 到 端的 流动 , 这 是 因为 中 继 主 机 工作 于 他 层 以 
上 。 所 有 在 IP 层 上 可 能 出 现 的 碎片 攻击 、Firewalking 探测 等 问题 都 会 在 中 继 主机 上 终结 。 
对 于 有 问题 的 了 P 数据 流 ， 中 继 主 机 能 很 好 地 加 以 处 理 。 而 在 中 继 主机 的 另 一 端 ， 它 能 发 
送 正 常 的 TCP/IP 数据 包 。 电 路 级 网 关 在 两 个 没有 任何 IP 连通 性 的 网 络 之 间架 起 了 一 道 

在 有 些 实现 方案 中 ， 电 路 连接 可 自动 完成 。 通 过 中 继 主 机 ， 特 定 的 TCP 服务 可 由 外 
部 主机 到 达 内 部 的 数据 库 主 机 。 在 Internet 上 ， 有 很 多 实现 这 一 功能 的 软件 ， 如 tcprelay 
就 是 一 个 TCP 中 继 程序 。 

在 另外 一 些 实现 方案 中 ， 连 接 服务 需要 知道 确切 的 目的 地 址 。 此 时 ， 主 叫 主机 和 网 
关 之 间 要 运行 一 个 简单 的 协议 。 此 协议 描述 了 主 叫 主机 期 望 连接 的 目标 主机 和 使 用 的 服 
务 。 主 叫 用 户 首先 向 网 关 的 TCP 端口 发 出 连接 请 求 ， 然 后 网 关 再 尝试 与 目标 主机 连接 。 
一 旦 连接 建立 起 来 ， 中 继 程序 就 会 在 进出 网 关 的 两 个 方向 上 复制 数据 。 


12.5.1 工作 原理 


电路 级 网 关 工作 于 会 话 层 ， 即 OSI 模型 的 第 5 层 ， 如 图 12-19 所 示 。 在 许多 方面 ， 
电路 级 网 关 仅 仅 是 包 过 滤 防 火 墙 的 一 种 扩展 ， 它 除了 进行 基本 的 包 过 滤 检 查 之 外 ， 还 要 
增加 对 连接 建立 过 程 中 的 握手 信息 及 序列 号 合法 性 的 验证 。 

在 打开 一 条 通过 防火 墙 的 连接 或 电路 之 前 ， 电 路 级 网 关 要 检查 和 确认 TCP 及 UDP 
会 话 。 因 此 ， 电 路 级 网 关 所 检查 的 数据 比 静态 包 过 滤 防 火 墙 或 动态 包 过 滤 防 火 墙 所 检查 
的 数据 更 多 ， 安 全 性 也 更 高 。 

通常 ， 判 断 是 接收 还 是 丢弃 一 个 数据 包 ， 取 决 于 对 数据 包 的 IP 头 和 TCP 头 的 检查 ， 
如 图 12-20 所 示 。 电 路 级 网 关 检 查 的 数据 包括 : 中 源 地 址 ; @@ 目 的 地 址 ， @ 应 用 或 协议 ; 
@ 源 端口 号 ，@@ 目 的 端口 号 ，@ 握 手 信 息 及 序列 号 。 
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图 12-19 工作 于 会 话 层 的 电路 级 网 关 
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电路 级 网 关 
图 12-20 电路 级 网 关 过 滤 的 IP 数据 包 信 息 


与 包 过 滤 防 火 墙 类 似 , 电路 级 网 关 在 转发 一 个 数据 包 之 前 ， 首 先 将 数据 包 的 人 头 和 
TCP 头 与 由 管理 员 定义 的 规则 表 相 比较 ， 以 确定 防火 墙 是 将 数据 包 丢 弃 还 是 让 数据 包 通 
过 。 在 可 信 客 户 机 与 不 可 信 主 机 之 间 进 行 TCP 握手 通信 时 ， 仅 当 SYN 标志 、ACK 标志 
及 序列 号 符合 逻辑 时 ， 电 路 级 网 关 才 判定 该 会 话 是 合法 的 。 

如 果 会 话 是 合法 的 ， 包 过 滤器 就 开始 对 规则 进行 逐条 扫描 ， 直 到 发 现 其 中 一 条 规则 
与 数据 包 中 的 有 关 信 息 一 致 。 如 果 包 过 滤器 没有 发 现 适合 该 数据 包 的 规则 ， 它 就 会 对 该 
数据 包 施加 一 条 默认 规则 。 在 防火 墙 的 规则 表 中 ， 这 条 默认 规则 有 明确 的 定义 ， 通 常 是 
指示 防火 墙 将 不 满足 规则 的 数据 包 丢 弃 。 

事实 上 ， 电 路 级 网 关 在 其 自身 与 远程 主机 之 间 建 立 一 个 新 的 连接 ， 而 这 一 切 对 内 网 
中 的 用 户 来 说 是 完全 透明 的 。 内 网 用 户 不 会 意识 到 这 些 ， 他 们 一 直 认 为 自己 正 与 远程 主 
机 直接 建立 连接 。 在 图 12-21 中 , 电路 级 网 关 将 输出 数据 包 的 源 地 址 改 为 自己 的 卫 地 址 。 
因此 ， 外 部 网 络 中 的 主机 不 会 知道 内 部 主机 的 卫 地 址 。 图 中 的 单 向 箭头 只 是 为 了 说 明 这 
一 概念 ， 实 际 上 箭头 应 是 双向 的 。 












































源 地 址 = 源 地 址 = 
178.29.10.90 178.29.10.70 
IP 分 组 IP 分 组 
6 HTTP y Y 
& || SMTP 
FTP 
QS Telnet 入: 
内 部 主机 外 部 主机 
IP 地 址 = 电路 级 网 关 
178.29.10.90 IP 地 址 = 
178.29.10.70 


图 12-21 电路 级 网 关 的 工作 原理 
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电路 中 继 通常 在 两 个 独立 的 网 络 之 间 创 建 特定 的 连接 。 在 Internet 的 早期 ， 许 多 公 
司 的 内 部 网 均 在 电路 级 上 与 Internet 隔离 。SOCKS 就 是 一 个 普通 的 电路 级 网 关 。SOCKS 
最 初 是 由 David 和 Michelle Koblas 设计 并 开发 的 ， 现 在 已 得 到 广泛 应 用 。 通 过 合理 配置 
SOCKS 协议 ， 可 以 使 用 SOCKS 中 继 主机 作为 电路 级 网 关 。 

SOCKS 其 实 是 一 种 网 络 代理 协议 。 一 台 使 用 专用 IP 地址 的 内 部 主机 可 通过 SOCKS 
服务 器 获得 完全 的 Internet 访问 。 具 体 网 络 拓扑 结构 是 :用 一 台 运 行 SOCKS 的 服务 器 ( 双 
宿主 主机 ) 连接 内 部 网 和 Intemet， 内 部 网 主机 使 用 的 都 是 专用 IP 地 址 。 内 部 网 主机 请 
求 访问 Internet 时 ， 首 先 与 SOCKS 服务 器 建立 一 个 SOCKS 通道 ， 然 后 再 将 请 求 通过 这 
个 通道 发 送 给 SOCKS 服务 器 ; SOCKS 服务 器 在 收 到 客户 请 求 后 ， 向 Internet 上 的 目标 
主机 发 出 请 求 ; 得 到 响应 后 ，SOCKS 服务 器 再 通过 先前 建立 的 SOCKS 通道 将 数据 返回 
给 内 网 主机 。 当 然 ， 在 SOCKS 通道 的 建立 过 程 中 可 能 有 一 个 用 户 认证 的 过 程 。 

典型 的 SOCKS 连接 如 图 12-22 所 示 。 在 图 中 ， 内 部 网 中 的 客户 机 通过 SOCKS 接口 
与 中 继 主 机 的 接口 4 相连 ， 而 Internet 则 通过 接口 B 与 中 继 主 机 相连 。 

internet 中 断 主机 Internet 



























































图 12-22 典型 的 SOCKS 连接 


电路 级 网 关 在 设计 上 要 能 够 中 继 IP 连接 , IP 地 址 对 服务 器 来 说 是 不 可 见 的 。 中 继 请 
求 会 到 达 如 图 12-22 所 示 的 接口 4。 如 果 在 接口 B 上 也 提供 该 服务 ， 外 部 用 户 就 会 通过 
中 继 主机 发 起 连接 。 现 在 有 很 多 黑客 工具 可 以 用 来 扫描 中 继 服务 器 ， 以 发 现 其 存在 的 
漏洞 。 

显然 ， 必 须 对 中 继 服务 器 施加 控制 。 控 制 措施 可 采用 各 种 形式 ， 例 如 ， 可 以 对 端口 
的 持续 时 间 加 以 限制 ， 也 可 以 要 求 列 出 允许 访问 该 端口 的 外 部 用 户 名 单 ， 甚 至 可 以 对 内 
部 用 户 的 连接 建立 请 求 进行 用 户 认证 。 当 然 ， 到 底 采用 什么 措施 要 视 具体 情况 而 定 。 

电路 级 网 关 ， 包 括 后 面 要 介绍 的 应 用 级 网 关 ， 都 非常 适合 于 某 些 UDP 应 用 。 此 时 ， 
必须 修改 客户 机 程序 ， 以 创建 一 条 通 向 某 种 代理 进程 的 虚 电路 。 该 电路 提供 了 足够 的 信 
息 ， 让 UDP 应 用 安全 地 通过 过 滤器 。 实 际 的 目的 地 址 和 源 地 址 则 被 隐蔽 地 发 送 。 然 而 ， 
由 于 各 种 服务 均 需 要 特定 的 本 地 端口 号 ， 因 此 这 一 设计 仍然 存在 问题 。 

12.5.2 安全 性 讨论 

电路 级 网 关 完全 是 从 包 过 滤 防 火 墙 基 础 上 演化 而 来 的 ， 它 与 包 过 滤 防 火 墙 一 样 ， 工 
作 于 OSI 模型 的 低层 上 ， 因 此 对 网 络 性 能 有 较 小 的 影响 。 然 而 ， 一 旦 电路 级 网 关 建 立 一 
个 连接 ， 任 何 应 用 均 可 以 通过 该 连接 运行 ， 这 是 因为 电路 级 网 关 仍 然 是 在 OSI 模型 的 会 
话 层 和 网 络 层 上 对 数据 包 进 行 过 滤 的 。 换 名 话说 ， 电 路 级 网 关 不 能 对 可 信 网 络 与 不 可 信 
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网 络 之 间 中 继 的 数据 包 内 容 进 行 检查 。 这 就 存在 潜在 的 风险 ， 电 路 级 网 关 有 可 能 放 过 有 
害 的 数据 包 ， 使 其 顺利 到 达 防 火 墙 后 面 的 服务 器 。 

总 之 ， 电 路 级 网 关 具 有 如 下 优点 

(1) 对 网 络 性 能 有 一 定 程度 的 影响 。 由 于 其 工作 层次 比 包 过 滤 防 火 墙 高 ， 因 此 性 能 
比 包 过 滤 防 火 墙 稍 差 ， 但 是 与 应 用 代理 防火 墙 相 比 ， 其 性 能 要 好 很 多 。 

(2) 切断 了 外 部 网 络 与 防火 墙 后 的 服务 器 直接 连接 。 外 网 客户 机 与 内 网 服务 器 之 间 
的 通信 需要 通过 电路 级 代理 实现 ， 同 时 电路 级 代理 可 以 对 IP 层 的 数据 错误 进行 校 验 。 

G) 比 静 态 或 动态 包 过 滤 防 火 墙 具有 更 高 的 安全 性 。 在 理论 上 ， 防 火 墙 实现 的 层次 
越 高 ， 过 滤 检 查 的 项 目 就 越 多 ， 安 全 性 就 越 好 。 由 于 电路 级 网 关 可 以 提供 认证 功能 ， 因 
此 其 安全 性 要 优 于 包 过 滤 防 火 墙 。 

电路 级 网 关 具 有 如 下 缺点 

a) 具有 一 些 包 过 滤 防 火 墙 固 有 的 缺陷 ， 例 如 ， 电 路 级 网 关 不 能 对 数据 净 荷 进行 检 
测 ， 因 此 无 法 抵御 应 用 层 的 攻击 等 。 

(2) 仅 提供 一 定 程度 的 安全 性 。 由 于 电路 级 网 关 在 设计 理论 上 存在 局 限 性 ， 工 作 层 
次 决定 了 它 无 法 提供 最 高 的 安全 性 。 只 有 到 了 应 用 级 网 关 的 级 别 ， 安 全 问题 才能 从 理论 
上 得 到 彻底 解决 。 

(3) 电路 级 网 关 防 火 墙 存在 的 另外 一 个 问题 是 : 当 增加 新 的 内 部 程序 或 资源 时 ， 往 
往 需 要 对 许多 电路 级 网 关 的 代码 进行 修改 “SOCKS 例外 )。 


26 ”应 用 级 网 关 








应 用 级 网 关 与 包 过 滤 防 火 墙 不 同 ， 包 过 滤 防 火 墙 能 对 所 有 不 同 服务 的 数据 流 进 行 过 
滤 ， 而 应 用 级 网 关 则 只 能 对 特定 服务 的 数据 流 进 行 过 滤 。 包 过 滤器 不 需要 了 解数 据 流 的 
细节 ， 它 只 查看 数据 包 的 源 地 址 和 目的 地 址 或 检查 UDP/TCP 的 端口 号 和 某 些 标志 位 。 
应 用 级 网 关 必须 为 特定 的 应 用 服务 编写 特定 的 代理 程序 。 这 些 程序 被 称 为 “服务 代理 ”， 
在 网 关内 部 分 别 扮演 客户 机 代理 和 服务 器 代理 的 角色 。 当 各 种 类 型 的 应 用 服务 通过 网 关 
时 ， 它 们 必须 经 过 客户 机 代理 和 服务 器 代理 的 过 滤 。 应 用 级 网 关 的 逻辑 结构 如 图 12-23 
所 示 。 


服务 器 
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图 12-23 ”应 用 级 网 关 的 逻辑 结构 
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12.6.1 工作 原理 


与 电路 级 网 关 一 样 ， 应 用 级 网 关 截 获 进出 网 络 的 数据 包 ， 运 行 代理 程序 来 回复 制 和 
传递 通过 网 关 的 信息 ， 起 着 代理 服务 器 的 作用 。 它 可 以 避免 内 网 中 的 可 信服 务 器 或 客户 
机 与 外 网 中 某 个 不 可 信和 主机 之 间 的 直接 连接 。 

应 用 级 网 关上 所 运行 的 应 用 代理 程序 与 电路 级 网 关 有 两 个 重要 的 区 别 : 

(1) 代理 是 针对 应 用 的 。 

(2) 代理 对 整个 数据 包 进行 检查 , 因此 能 在 OSI 模型 的 应 用 层 上 对 数据 包 进 行 过 滤 。 
应 用 级 网 关 的 工作 层次 如 图 12-24 所 示 。 






































络 接口 








内 部 网 络 外 部 网 络 








图 12-24 ”应 用 级 网 关 的 工作 层次 


与 电路 级 网 关 不 同 ， 应 用 级 网 关 必须 针对 每 个 特定 的 服务 运行 一 个 特定 的 代理 ， 它 
只 能 对 特定 服务 所 生成 的 数据 包 进 行 传递 和 过 滤 。 例 如 ，HTTP 代理 只 能 复制 、 传 递 和 
过 滤 HTTP 业务 流 。 如 果 一 个 网 络 使 用 了 应 用 级 网 关 防 火 墙 ， 而 且 网 关上 没有 运行 某 些 
应 用 服务 的 代理 ， 那 么 这 些 服 务 的 数据 包 都 不 能 进出 网 络 。 例 如 ， 如 果 应 用 级 网 关 防火 
墙 上 运行 了 FTP 和 HTTP 代理 ， 那 么 只 有 这 两 种 服务 的 数据 包 才 能 通过 防火 墙 ， 所 有 其 
他 服务 的 数据 包 均 被 禁止 。 

应 用 级 网 关 防 火 墙 上 运行 的 代理 程序 对 数据 包 进行 逐个 检查 和 过 滤 ， 而 不 是 简单 地 
复制 数据 让 数据 包 轻 易 地 通过 网 关 。 特 定 的 应 用 代理 检查 通过 网 关 的 每 个 数据 包 , 在 OSI 
模型 的 应 用 层 上 验证 数据 包 内 容 。 这 些 代理 可 以 对 应 用 协议 中 的 特定 信息 或 命令 进行 过 
滤 ， 这 就 是 所 谓 的 关键 词 过 滤 或 命令 字 过 滤 。 例如，FTP 应 用 代理 能 够 过 滤 许 多 命令 字 ， 
以 便 对 特定 用 户 实现 更 加 精细 的 控制 ， 以 保护 FTP 服务 器 免 遭 非法 入 侵 。 

当前 ， 应 用 级 网 关 防 火 墙 所 采用 的 技术 叫做 “ 强 应 用 代理 ”。 强 应 用 代理 技术 提高 了 
应 用 级 网 关 的 安全 等 级 。 强 应 用 代理 不 是 对 用 户 的 整个 数据 包 进 行 复制 ， 而 是 在 防火 墙 
内 部 创建 一 个 全 新 的 空 数 据 包 。 强 应 用 代理 将 那些 可 接收 的 命令 或 数据 ， 从 防火 墙 外 部 
的 原始 数据 包 中 复制 到 防火 墙 内 新 创建 的 数据 包 中 。 然 后 ， 强 应 用 代理 将 此 新 数据 包 发 
送 给 防火 墙 后 面 受 保护 的 服务 器 。 通 过 采用 此 项 技术 ， 强 应 用 代理 能 够 降低 各 类 隐 信 道 
攻击 所 带 来 的 风险 。 
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与 普通 静态 或 动态 包 过 滤 防 火 墙 相 比 ， 应 用 级 网 关 防 火 墙 在 更 高 层 上 过 滤 信 息 ， 并 
且 能 够 自动 地 创建 必要 的 包 过 滤 规 则 ， 因 此 它们 比 传统 的 包 过 滤 防 火 墙 更 容易 配置 。 
于 应 用 级 网 关 防 火 墙 对 整个 数据 包 进 行 检查 ， 因 此 它 是 当前 已 有 的 最 安全 的 防火 
墙 结构 之 一 。 虽 然 应 用 级 网 关 防 火 墙 具有 很 高 的 安全 性 ， 但 是 它 有 一 个 固有 的 缺点 ， 那 
就 是 缺乏 透明 性 。 此 外 ， 缺 乏 对 新 应 用 、 新 协议 的 支持 也 成 了 制约 应 用 级 网 关 发 展 的 主 
要 障碍 。 

随 着 软件 技术 从 原来 的 16b 编码 转向 当前 的 32b 编码 , 再 加 上 SMP 等 新 技术 的 出 现 ， 
今天 的 许多 应 用 级 网 关 防 火 墙 既 有 很 高 的 安全 性 ， 也 有 很 好 的 透明 性 。 此 时 ， 公 网 或 内 
网 中 的 用 户 不 会 意识 到 他 们 正在 通过 防火 墙 访问 Internet. 


12.6.2 ”安全 性 讨论 


包 过 滤 防 火 墙 无 须 对 数据 净 荷 进行 检查 ， 它 仅 检查 数据 包 的 源 地 址 和 目的 地 址 ， 也 
可 能 检查 UDP 或 TCP 的 端口 号 或 标志 位 。 由 于 应 用 级 网 关 要 对 特定 服务 数据 包 的 细节 
进行 检查 ， 因 此 它 比 包 过 滤 防 火 墙 更 复杂 。 

应 用 级 网 关 不 是 采用 通用 机 制 处 理 所 有 应 用 服务 的 数据 包 ， 而 是 采用 特定 的 代理 程 
序 处 理 特定 应 用 服务 的 数据 包 。 例 如 ， 针 对 电子 邮件 的 应 用 代理 程序 能 理解 RFC 822 头 
信息 和 MIME 编码 格式 的 附件 ， 也 可 能 识别 出 感染 病毒 的 软件 。 这 类 过 滤器 通常 采用 存 
储 转 发 方式 工作 。 

应 用 级 网 关 还 有 另外 一 个 优点 : 它 容 易 记 录 和 控制 所 有 进出 网 络 的 数据 流 。 这 对 于 
某 些 环境 来 说 非常 关键 。 它 可 以 对 电子 邮件 中 的 关键 词 进行 过 滤 ， 也 可 以 让 特定 的 数据 
通过 网 关 。 它 还 能 对 网 页 的 查询 请 求 进行 过 滤 ， 使 其 与 公司 的 安全 策略 一 致 ， 以 禁止 员 
工 在 工作 时 间 上 网 看 新 闻 。 它 也 能 剔除 危险 的 电子 邮件 附件 。 

不 管 网 络 中 的 其 他 防火 墙 采用 何 种 技术 , 电子 邮件 通常 必须 经 过 应 用 级 网 关 的 过 滤 。 
即使 网 络 中 没有 安装 防火 墙 ， 也 必须 安装 电子 邮件 网 关 。 它 还 能 去 掉 内 部 主机 的 名 称 ， 
因为 此 名 称 中 可 能 含有 一 些 有 价值 的 信息 。 它 甚至 还 可 以 进行 数据 流 分 析 、 内 容 分 析 并 
形成 日 志 ， 以 便 事 后 查看 被 泄漏 的 信息 。 

JER: 以 上 描述 的 安全 机 制 仅 用 来 防止 攻击 者 从 外 部 发 起 攻击 。 但 是 如 果 网 络 内 部 
有 不 法 用 户 想 导 入 含有 病毒 的 文件 ， 这 些 安全 机 制 将 无 能 为 力 。 当 然 ， 这 类 问题 的 防范 
超出 了 防火 墙 的 功能 范围 。 

应 用 级 网 关 的 主要 缺点 是 : 对 于 大 多 数 应 用 服务 来 说 ， 它 需要 编写 专门 的 用 户 程序 
或 不 同 的 用 户 接 口 。 在 实践 中 ， 这 意味 着 应 用 级 网 关 只 能 支持 一 些 非 常 重要 的 服务 。 对 
于 一 些 专用 的 协议 或 应 用 ， 应 用 级 网 关 将 无 法 加 以 过 滤 。 对 于 许多 新 出 现 的 应 用 服务 ， 
应 用 级 网 关 则 无 能 为 力 ， 因 为 用 户 必须 重新 开发 新 的 代理 程序 ， 而 这 需要 时 间 。 目 前 ， 
它 仅 能 对 有 限 的 几 个 常用 的 应 用 服务 进行 过 滤 ， 如 HTTP, FTP, SMTP, POP3, Telnet 
等 


























在 复杂 的 网 络 环境 中 ， 应 用 级 网 关 显 得 不 太 实用 ， 并 且 可 能 超 负荷 运 行 ， 以 致 不 能 
正常 工作 。 如 果 应 用 级 网 关 的 实现 依赖 于 操作 系统 的 metd 守护 程序 , 则 其 最 大 并 发 连接 
数目 将 受到 严重 限制 。 今 天 的 网 络 环境 对 并 行 会 话 的 要 求 非常 高 ， 这 就 要 求 应 用 级 网 关 
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防火 墙 对 网 络 环境 有 很 强 的 适应 性 。 因 此 ， 是 否 采 用 应 用 级 网 关 防 火 墙 ， 取决 于 用 户 的 
选择 。 如 果 用 户 为 满足 某 些 特殊 的 安全 需求 而 采用 应 用 级 网 关 防火 墙 ， 那 么 用 户 就 要 承 
担 一 定 的 风险 。 如 果 内 网 中 的 用 户 太 多 、 流 量 太 大 ， 就 可 能 因 所 支持 的 并 发 连接 数 不 够 
而 造成 过 滤 速 度 缓慢 或 死机 。 

当然 ， 从 安全 的 角度 看 ， 人 们 更 偏向 于 采用 应 用 级 网 关 防 火 墙 。 由 于 它 在 应 用 层 上 
对 数据 进行 过 滤 ， 因 此 更 安全 。 网 关 也 可 以 支持 其 他 的 应 用 ， 例 如 ， 可 以 让 它 承 担 域名 
服务 器 或 邮件 服务 器 的 任务 。 应 用 级 网 关 防 火 墙 隐藏 了 内 部 主机 的 IP 地 址 或 主机 名 ,对 
于 外 部 的 网 络 用 户 来 说 ， 这 些 信息 是 不 可 见 的 。 当 数据 包 流 出 内 网 的 时 候 ， 防 火 墙 将 消 
息 头 中 的 专用 IP 地 址 和 主机 名 去 掉 ; 当 数 据 包 自 外 网 流入 内 网 时 , 防火 墙 的 域名 服务 器 
对 数据 包 进行 解析 ， 再 发 往 内 网 的 用 户 。 因 此 ， 对 于 外 部 网 络 来 说 ， 防 火 墙 看 起 来 既是 

应 用 级 网 关 可 以 解决 IP 地 址 缺乏 的 问题 。 网 络 管理 员 可 以 将 大 量 的 专用 P 地 址 分 
配给 内 网 用 户 ， 使 内 部 主机 的 IP 地址 分 配 变 得 非常 容易 。 由 于 应 用 级 网 关 对 Internet 隐 
藏 了 内 部 的 专用 IP 地 址 ， 因 此 它 只 需要 ISP 提供 儿 个 静态 IP 地 址 即 可 。 

用 户 可 使 用 应 用 级 网 关上 运行 的 FTP 代理 程序 传输 文件 。 内 部 用 户 通过 登录 防火 墙 
上 传 或 下 载 文件 ， 外 部 用 户 也 一 样 。 在 进行 匿名 文件 传输 时 ， 用 户 先 将 文件 发 给 防火 墙 ， 
再 由 防火 墙 将 文件 发 出 。 这 种 工作 方式 也 同样 适用 于 Telnet 或 rlogin 会 话 : 用 户 首先 远 
程 登录 到 防火 墙 上 ， 防 火 墙 再 远程 登录 到 外 部 网 络 。E-mail 及 由 网 站 提供 的 某 些 服务 均 
采用 这 种 安全 工作 模式 。 这 样 ， 内 网 用 户 就 可 以 通过 应 用 级 网 关 对 外 部 用 户 提供 服务 。 
当然 ， 用 户 可 以 采用 Kerberos 安全 协议 来 管理 内 外 网 用 户 之 间 的 会 话 。 

有 的 商用 防火 墙 可 为 用 户 提供 应 用 级 网 关 软 件 。 用 户 可 与 制造 商 签署 保密 协议 ， 让 
他 们 提供 对 许多 专用 协议 的 支持 。 但 是 ， 究 竞 是 否 真正 需要 应 用 级 网 关 支 持 这 些 协 议 ， 
网 络 管理 员 要 对 内 网 的 安全 策略 仔细 研究 。 即 使 应 用 级 网 关 能 够 对 这 些 专用 协议 进行 过 
滤 ， 如 果 根 本 不 需要 这 些 协议 ， 就 应 该 去 掉 它们 。 在 应 用 级 网 关上 增加 对 这 些 协议 的 支 
持 ， 只 会 增加 防火 墙 的 负担 ， 从 而 降低 防火 墙 的 性 能 。 

TIS (Trusted Information Systems) 防火 墙 工具 包 是 一 种 非常 流行 的 应 用 级 网 关 软件 。 
读者 可 以 从 网 上 自由 下 载 。 该 工具 包 包括 Telnet 网 关 、FTP 网 关 、rlogin 网 关 和 SSL 网 
关 等 。 另 外 ， 还 有 一 些 专门 为 特定 服务 编写 的 应 用 代理 软件 包 ， 如 Squid 等 。 对 这 些 软 
件 加 以 修改 ， 它 们 就 可 以 应 用 于 防火 墙 中 。 

总 之 ， 应 用 级 网 关 的 主要 优点 如 下 所 述 ; 

(1) 在 已 有 的 安全 模型 中 安全 性 较 高 。 由 于 工作 于 应 用 层 ， 因 此 应 用 级 网 关 防 火 墙 
的 安全 性 取决 于 厂商 的 设计 方案 。 应 用 级 网 关 防 火 墙 完全 可 以 对 服务 (如 HTTP. FTP 
等 ) 的 命令 字 过 滤 ， 也 可 以 实现 内 容 过 滤 ， 甚 至 可 以 进行 病毒 的 过 滤 。 

(2) 具有 强大 的 认证 功能 。 由 于 应 用 级 网 关 在 应 用 层 实现 认证 ， 因 此 它 可 以 实现 的 
认证 方式 比 电路 级 网 关 要 丰富 得 多 。 

G) 具有 超 强 的 日 志 功能 。 包 过 滤 防 火 墙 的 日 志 仅 能 记录 时 间 、 地 址 、 协 议 、 端 口 ， 
而 应 用 级 网 关 的 日 志 要 明确 得 多 。 例 如 ， 应 用 级 网 关 可 以 记录 用 户 通过 HTTP 访问 了 哪 
些 网 站 页 面 、 通 过 FTP 上 传 或 下 载 了 什么 文件 、 通 过 SMTP 给 谁 发 送 了 邮件 ， 甚 至 邮件 
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的 主题 、 附 件 等 信息 ， 都 可 以 作为 日 志 的 内 容 。 

(4) 应 用 级 网 关 防 火 墙 的 规则 配置 比较 简单 。 由 于 应 用 代理 必须 针对 不 同 的 协议 实 
现 过 滤 ， 所 以 管理 员 在 配置 应 用 级 网 关 时 关注 的 重点 就 是 应 用 服务 ， 而 不 必 像 配置 包 过 
滤 防 火 墙 一 样 还 要 考虑 规则 顺序 的 问题 。 

应 用 级 网 关 的 主要 缺点 如 下 所 述 : 

O) 灵活 性 很 差 : 对 每 一 种 应 用 都 需要 设置 一 个 代理 。 由 此 导致 的 问题 很 明显 ， 每 
当 出 现 一 种 新 的 应 用 时 ， 必 须 编写 新 的 代理 程序 。 由 于 目前 的 网 络 应 用 呈 多 样 化 趋势 ， 
这 显然 是 一 个 致命 的 缺陷 。 在 实际 工作 中 ， 应 用 级 网 关 防火 墙 中 集成 了 电路 级 网 关 或 包 
过 滤 防 火 墙 ， 以 满足 人 们 对 灵活 性 的 需求 。 

(2) 配置 复杂 : 增加 了 管理 员 的 工作 量 。 由 于 各 种 应 用 代理 的 设置 方法 不 同 ， 因 此 
对 于 不 是 很 精通 计算 机 网 络 的 用 户 而 言 ， 难 度 可 想 而 知 。 对 于 网 络 管理 员 来 说 ， 当 网 络 
规模 达到 一 定 程度 的 时 候 ， 其 工作 量 很 大 。 

(3) 性 能 不 高 : 有 可 能 成 为 网 络 的 瓶颈 。 虽 然 目 前 的 CPU 处 理 速度 还 是 保持 以 莫 尔 
定律 的 速度 增长 ， 但 是 周边 系统 的 处 理性 能 〈 如 磁盘 访问 性 能 等 ) 远 远 落 后 于 运算 能 力 
的 提高 ， 很 多 时 候 系 统 的 瓶颈 根本 不 在 于 处 理 器 的 性 能 。 目 前 ， 应 用 级 网 关 的 性 能 依然 
远 远 无 法 满足 大 型 网 络 的 需求 , 一 旦 超 负荷 , 就 有 可 能 发 生 宕 机 ， 从 而 导致 整个 网 络 中 断 。 
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状态 检测 技术 是 防火 墙 近 几 年 才 应 用 的 新 技术 。 传 统 的 包 过 滤 防 火 墙 只 是 通过 检测 
IP 包头 的 相关 信息 来 决定 数据 流 的 通过 还 是 拒绝 ， 而 状态 检测 技术 采用 的 是 一 种 基于 连 
接 的 状态 检测 机 制 ， 将 属于 同一 连接 的 所 有 包 作为 一 个 数据 流 的 整体 看 待 ， 构 成 连接 状 
态 表 ， 通 过 规则 表 与 状态 表 的 共同 配合 ， 对 表 中 的 各 个 连接 状态 因素 加 以 识别 。 这 里 动 
态 连接 状态 表 中 的 记录 可 以 是 以 前 的 通信 信息 ， 也 可 以 是 其 他 相关 应 用 程序 的 信息 ， 因 
此 ， 与 传统 包 过 滤 防 火 墙 的 静态 过 滤 规 则 表 相 比 ， 它 具有 更 好 的 灵活 性 和 安全 性 。 


12.7.1 工作 原理 


先进 的 状态 检测 防火 墙 读 取 、 分 析 和 利用 了 全 面 的 网 络 通信 信息 和 状态 , 如 下 所 述 : 

(1) 通信 信息 : 即 所 有 7 层 协议 的 当前 信息 。 防 火 墙 的 检测 模块 位 于 操作 系统 的 内 
核 ， 在 网 络 层 之 下 ， 能 在 数据 包 到 达 网 关 操作 系统 之 前 对 它们 进行 分 析 。 防 火 墙 先 在 低 
协议 层 上 检查 数据 包 是 否 满足 企业 的 安全 策略 ， 对 于 满足 的 数据 包 ， 再 从 更 高 协议 层 上 
进行 分 析 。 它 验证 数据 的 源 地 址 、 目 的 地 址 和 端口 号 、 协 议 类 型 、 应 用 信息 等 多 层 的 标 
志 ， 因 此 具有 更 全 面 的 安全 性 。 

(2) 通信 状态 : 即 以 前 的 通信 信息 。 对 于 简单 的 包 过 滤 防 火 墙 ， 如 果 要 允许 FTP 通 
过 ， 就 必须 做 出 让 步 而 打开 许多 端口 ， 这 样 就 降低 了 安全 性 。 状 态 检测 防火 墙 在 状态 表 
中 保存 以 前 的 通信 信息 ， 记 录 从 受 保护 网 络 发 出 的 数据 包 的 状态 信息 ， 如 FTP 请 求 的 服 
务 器 地 址 和 端口 、 客 户 端 地 址 和 为 满足 此 次 FTP 临时 打开 的 端口 ， 然 后 ， 防 火 墙根 据 该 
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表 内 容 对 返回 受 保护 网 络 的 数据 包 进 行 分 析 判 断 ， 这 样 ， 只 有 响应 受 保护 网 络 请 求 的 数 
据 包 才 被 放行 。 这 里 ， 对 于 UDP 或 RPC 等 无 连接 的 协议 ， 检 测 模块 可 创建 虚 会 话 信息 
用 来 进行 跟踪 。 

G) 应 用 状态 : 即 其 他 相关 应 用 的 信息 。 状 态 检测 模块 能 够 理解 并 学 习 各 种 协议 和 
应 用 ， 以 支持 各 种 最 新 的 应 用 ， 它 比 代理 服务 器 支持 的 协议 和 应 用 要 多 得 多 ; 并 且 ， 它 
能 从 应 用 程序 中 收集 状态 信息 并 存 入 状态 表 中 ,以 供 其 他 应 用 或 协议 做 检测 策略 。 例 如 ， 
已 经 通过 防火 墙 认 证 的 用 户 可 以 通过 防火 墙 访问 其 他 授权 的 服务 。 

(4) 操作 信息 : 即 在 数据 包 中 能 执行 逻辑 运算 或 数学 运算 的 信息 。 状 态 监测 技术 采 
用 强大 的 面向 对 象 的 方法 ， 基 于 通信 信息 、 通 信 状 态 、 应 用 状态 等 多 方面 因素 ， 利 用 灵 
活 的 表达 式 形 式 ， 结 合 安全 规则 、 应 用 识别 知识 、 状 态 关联 信息 及 通信 数据 ， 构 造 更 复 
杂 的 、 更 灵活 的 、 满 足 用 户 特定 安全 要 求 的 策略 规则 。 

状态 检查 防火 墙 将 动态 包 过 滤 、 电 路 级 网 关 和 应 用 级 网 关 等 各 项 技术 结合 在 一 起 。 
由 于 状态 检测 防火 墙 可 以 在 OSI 模型 的 所 有 7 个 层次 上 进行 过 滤 ， 所 以 在 理论 上 应 该 具 
有 很 高 的 安全 性 ， 如 图 12-25 所 示 。 但 是 ， 现 在 的 大 多 数 状态 检测 防火 墙 上 只 工作 于 网 络 
层 ， 而 且 只 作为 动态 包 过 滤器 对 进出 网 络 的 数据 进行 过 滤 。 因 此 ， 它 对 数据 包 的 过 滤 还 
基于 对 源 地 址 、 目 的 IP 地 址 及 端口 号 的 检查 。 有 些 企业 声称 ， 这 是 管理 员 在 配置 防火 墙 
时 出 错 ， 许 多 管理 员 则 抱怨 采用 状态 监测 功能 将 造成 防火 墙 超 负荷 运行 ， 从 而 使 其 应 用 
受到 限制 。 
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图 12-25 ”状态 检测 防火 墙 在 所 有 7 层 上 进行 过 滤 


12.7.2 ”安全 性 分 析 


尽管 状态 检测 防火 墙 潜在 地 具有 在 全 部 7 层 上 过 滤 数 据 包 的 能 力 ， 但 是 许多 管理 员 
在 安装 防火 墙 时 仅 让 其 运行 在 OSI 的 网 络 层 上 ， 作 为 动态 包 过 滤 防 火 墙 使 用 。 前 面 已 指 
出 ， 状 态 检 测 防火 墙 也 可 以 作为 电路 级 网 关 工作 ， 以 确定 是 否 允 许 某 个 会 话 中 的 数据 包 
通过 防火 墙 。 例 如 ， 状 态 检测 防火 墙 可 以 验证 输入 数据 包 的 SYN. ACK 标志 位 和 序列 
号 是 否 符合 逻辑 。 然 而 ， 在 许多 实现 方案 中 ， 状 态 检测 防火 墙 仅 被 当 作 动态 包 过 滤 防 火 
墙 使 用 ， 并 且 允 许 采 用 单个 SYN 数据 包 建 立新 的 连接 ,这 是 非常 危险 的 。 有 的 状态 检测 
防火 墙 方案 不 能 对 内 部 主机 发 出 的 数据 包 的 序列 号 进行 检测 ， 这 可 能 导致 安全 缺陷 : 一 
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个 内 部 主机 可 以 非常 容易 地 伪装 成 其 他 内 部 主机 的 人 P 地 址 , 在 防火 墙 上 为 进入 内 网 的 连 
接 打 开 一 扇 门 。 

最 后 需要 说 明 的 是 ， 状 态 检测 防火 墙 可 以 模仿 应 用 级 网 关 。 状 态 检 测 防火 墙 可 以 在 
应 用 层 上 对 每 个 数据 包 的 内 容 进 行 评估 ， 并 且 能 够 确保 这 些 内 容 与 管理 员 根 据 本 机 构 的 
安全 策略 所 设置 的 过 滤 规 则 相 匹配 。 与 应 用 级 网 关 一 样 ， 状 态 检测 防火 墙 可 以 丢弃 那些 
在 应 用 头 (Application Header) 中 含有 特定 指令 的 数据 包 。 例 如 ， 管 理 员 可 以 配置 状态 
检测 防火 墙 ， 让 它 丢 弃 包 含 “Put” 指 令 的 数据 包 。 然 而 ， 当 采用 单线 程 的 状态 检测 防火 
墙 进行 应 用 层 过 滤 时 ， 其 性 能 会 受到 很 大 的 影响 。 因 此 ， 管 理 员 为 获得 较 高 的 吞吐 率 以 
满足 网 络 对 速度 的 需求 , 通常 将 状态 检测 防火 墙 配置 成 动态 包 过 滤 防 火 墙 使 用 。 实际 上 ， 
状态 检测 防火 墙 的 默认 配置 就 是 采用 动态 包 过 滤 ， 而 没有 对 许多 广泛 使 用 的 协议 (如 
HTTP) 实施 状态 检测 。 

与 应 用 级 网 关 不 同 ， 状 态 检 测 防火 墙 没 有 打破 用 “客户 /服务 器 ”模型 来 分 析 应 用 层 
数据 。 应 用 级 网 关 创建 了 两 个 连接 : 一 个 连接 在 可 信和 客户 机 和 网 关 之 间 ， 另 一 个 连接 在 
网 关 和 不 可 信 主 机 之 间 。 网 关 在 这 两 个 连接 之 间 复 制 信息 。 这 是 应 用 代理 和 状态 检测 争 
论 的 核心 。 有 些 管 理 员 坚持 认为 这 一 配置 确保 了 高 安全 性 ， 而 有 些 管理 员 则 认为 这 一 配 
置 降低 了 系统 的 性 能 。 为 了 提供 安全 的 连接 ， 状 态 检测 防火 墙 能 够 在 OSI 的 应 用 层 上 截 
获 和 检查 每 个 数据 包 。 遗 憾 的 是 ， 单 线程 状态 检测 进程 给 防火 墙 性 能 带 来 很 大 的 影响 ， 
所 以 管理 员 通常 不 采用 这 一 配置 。 

状态 检测 防火 墙 依靠 检测 引擎 中 的 算法 来 识别 和 处 理应 用 层 数据 。 这 些 算 法 将 数据 
包 与 授权 数据 包 的 已 知 比特 模式 相 比 较 。 有 些 厂商 声称 ， 在 理论 上 ， 它 们 的 状态 检测 防 
火 墙 在 过 滤 数 据 包 时 ， 要 比特 定 应 用 代理 更 加 高 效 。 然 而 ， 许 多 状态 检测 引擎 是 以 单线 
程 工作 的 ， 显 著 地 缩小 了 状态 监测 防火 墙 与 应 用 级 网 关 之 间 的 差别 。 例 如 ， 不 做 状态 检 
测 防 火 墙 的 SMP 多 架构 防火 墙 与 普通 状态 检测 防火 墙 相 比 ， 吞 吐 量 之 比 为 4 : 1， 并行 
会 话 能 力 之 比 高 达 12 : 1。 此 外 ， 由 于 受 状 态 检测 引擎 中 所 使 用 的 检测 语言 的 限制 ， 现 
在 人 们 通常 使 用 应 用 级 网 关 来 代替 状态 检测 防火 墙 。 

总 之 ， 状 态 检测 防火 墙 具 有 以 下 优点 : 

(1) 具备 动态 包 过 滤 的 所 有 优点 ， 同 时 具有 更 高 的 安全 性 。 因 为 增加 了 状态 检测 机 
制 ， 所 以 能 够 抵御 利用 协议 细节 进行 的 攻击 。 

(2) 没有 打破 客户 /服务 器 模型 。 

G) 提供 集成 的 动态 (状态) 包 过 滤 功 能 。 

(4) 当 以 动态 包 过 滤 模 式 运 行 时 ， 其 速度 很 快 ， 当 采用 SMP 兼容 的 动态 包 过 滤 时 ， 
其 运行 速度 更 快 。 

状态 检测 防火 墙 具 有 以 下 缺点 : 

(1) 由 于 状态 检测 引擎 采用 单线 程 进程 ， 此 设计 将 对 防火 墙 的 性 能 产生 很 大 影响 。 
许多 用 户 将 状态 检测 防火 墙 当 作 动态 包 过 滤 防 火 墙 使 用 ， 过 滤 的 层次 仅 限于 网 络 层 与 传 
输 层 ， 无 法 对 应 用 层 内 容 进行 检测 ， 也 就 无 法 防范 应 用 层 攻 击 。 

(2) 许多 人 认为 ， 没 有 打破 “客户 /服务 器 ”结构 会 产生 不 可 接受 的 安全 风险 ， 因 为 
黑客 可 以 直接 与 受 保护 的 服务 器 建立 连接 。 
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(3) 如 果实 现 方案 依赖 于 操作 系统 的 Inetd 守护 程序 , 其 并 发 连接 数量 将 受到 严重 限 
制 ， 从 而 不 能 满足 当今 网 络 对 高 并 发 连接 数量 的 要 求 。 

(4) 仅 能 提供 较 低 水 平 的 安全 性 。 没 有 一 种 状态 检测 防火 墙 能 提供 高 于 通用 标准 
EAL2 的 安全 性 。EAL2 等 级 的 安全 产品 不 能 用 于 对 专 网 的 保护 。 


428 ”切换 代理 





12.8.1 工作 原理 


切换 代理 〈Cutoff Proxy) 实际 上 是 动态 (状态) 包 过 滤器 和 电路 级 代理 的 结合 。 在 
许多 实现 方案 中 ， 切 换代 理 首 先 起 电路 级 代理 的 作用 ， 以 验证 RFC 建议 的 3 步 握手 ， 然 
后 再 切换 到 动态 包 过 滤 的 工作 模式 下 。 因 此 ， 切 换代 理 首先 工作 于 OSI 的 会 话 层 ， 即 第 
5 层 ， 当 连接 完成 后 ， 再 切换 到 动态 包 过 滤 模 式 ， 即 工作 于 OSI 的 第 3 层 。 切 换代 理 的 
工作 过 程 如 图 12-26 所 示 。 

































































传输 开始 传输 后 续 
应 用 层 应 用 层 
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网 络 接口 网 络 接口 网 络 接口 网 络 接口 
I I I I 


外 部 网 络 内 部 网 络 外 部 网 络 


图 12-26 ”切换 代理 的 工作 过 程 


有 些 厂商 已 经 将 切换 代理 的 过 滤 能 力 拓 展 到 应 用 层 ， 使 其 在 切换 到 动态 包 过 滤 模 式 
之 前 能 够 处 理 有 限 的 认证 信息 。 


12.8.2 ”安全 性 讨论 


前 面 已 讨论 了 切换 代理 的 工作 原理 ， 现 在 来 分 析 切 换代 理 的 缺点 。 我 们 知道 ， 切 换 
代理 与 传统 的 电路 级 代理 不 同 : 电路 级 代理 能 在 连接 持续 期 间 打 破 “ 客 户 /服务 器 ”模式 ， 
而 切换 代理 却 不 能 。 远 端的 客户 机 与 防火 墙 后 面 受 保护 的 服务 器 之 间 仍 然 能 够 建立 直接 
的 连接 。 切 换代 理 可 以 在 安全 性 和 性 能 两 者 之 间 找 到 一 个 平衡 点 。 在 谈 及 切换 代理 时 ， 
许多 厂商 吹 吐 切 换代 理 不 仅 能 够 提供 与 电路 级 网 关 相同 的 安全 性 ， 而 且 能 够 提供 与 动态 
包 过 滤 防 火 墙 相同 的 性 能 。 

我 们 认为 ， 不 同类 型 的 防火 墙 结构 在 Internet 安全 中 都 有 不 同 的 定位 。 如 果 安 全 策 
略 规定 需要 对 一 些 基 本 的 服务 进行 认证 并 检查 3 步 握手 , 而 且 不 需要 打破 “客户 /服务 器 ” 





内 部 网 络 
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模式 ， 那 么 切换 代理 就 是 一 个 非常 合适 的 选择 。 然 而 ， 管 理 员 必须 清醒 地 认识 到 ， 切 换 
代理 决 不 等 同 于 电路 级 代理 ， 因 为 在 建立 连接 期 间 ， 它 并 未 打破 “客户 /服务 器 ”的 工作 
模式 。 

总 之 ， 切 换代 理 具 有 以 下 优点 : 

(1) 与 传统 的 电路 级 网 关 相 比 ， 它 对 网 络 性 能 造成 的 影响 要 小 。 

(2) TASAR TAN TAE, 所 以 降低 了 IP 欺骗 的 风险 。 























(1) 它 不 是 一 个 电路 级 网 关 。 

(2) 它 仍然 具有 动态 包 过 滤器 遗留 的 许多 缺陷 。 

(3) 由 于 没有 检查 数据 包 的 净 荷 部 分 ， 因 此 具有 较 低 的 安全 性 。 
(4) 难于 创建 规则 《〈 受 先后 次 序 的 影响 )。 

(5) 其 安全 性 不 及 传统 的 电路 级 网 关 。 


29 ”空气 隙 防火 墙 



































12.9.1 工作 原理 


空气 隙 防火 墙 (Air Gap) 俗称 “安全 网 曾 ”， 它 是 现 有 防火 墙 结构 中 的 新 成 员 。 安 
全 网 闸 技术 是 模拟 人 工 拷 盘 的 工作 模式 ， 通 过 电子 开关 的 快速 切换 实现 两 个 不 同 网 段 的 
数据 交换 的 物理 隔离 安全 技术 。 安 全 网 闸 技术 源 于 被 称 为 “Air Gap” 的 安全 技术 ， 它 本 
意 是 指 由 空气 形成 的 用 于 隔离 的 缝隙。 在 网 络 安全 技术 中 ， 主 要 指 通 过 专用 的 硬件 设备 
在 物理 不 连通 的 情况 下 ， 实 现 两 个 独立 网 络 之 间 的 数据 安全 交换 和 资源 共享 。 目前， 有 
关 空 气 隙 防火 墙 技术 的 是 非 争 论 还 在 继续 。 其 实 ， 空 气 隙 防火 墙 的 工作 原理 非常 简单 。 
首先 ， 外 部 客户 机 与 防火 墙 之 间 的 连接 数据 被 写 入 一 个 具有 SCSI 接口 的 高 速 硬盘 中 ， 
然后 内 部 的 连接 再 从 该 SCSI 硬盘 中 读 取 数 据 。 由 于 防火 墙 切断 了 客户 机 到 服务 器 的 直 
接连 接 ， 并 且 对 硬盘 数据 的 读 / 写 操作 都 是 独立 进行 的 ， 因 此 人 们 相信 空气 隙 防火 墙 能 够 
提供 高 度 的 安全 性 。 其 结构 如 图 12-27 所 示 。 

从 图 12-27 中 可 以 看 出 ， 它 由 3 个 组 件 构成 : 4 网 处 理 机 、B 网 处 理 机 和 GAP 开关 
设备 。 可 以 很 清楚 地 看 到 连接 两 个 网 络 的 GAP 设备 不 能 同时 连接 到 相互 独立 的 4 网 和 B 
网 中 ， 即 GAP 在 某 一 时 刻 只 与 其 中 某 个 网 络 相连 。GAP 设备 连接 4 网 时 ， 它 是 与 网 
断 开 的 ，4 网 处 理 机 把 数据 放 入 GAP P; GAP 在 接收 完 数据 后 自动 切换 到 B 网 ， 同 时 ， 
GAP 与 4 网 断 开 ; B 网 处 理 机 从 GAP 中 取出 数据 ， 并 根据 合法 数据 的 规则 进行 严格 的 
检查 ， 判 断 这 些 数据 是 否 合法 ， 若 为 非法 数据 ， 则 删除 它们 。 同 理 ，B 网 也 以 同样 的 方 
式 通过 GAP 将 数据 安全 地 交换 到 4 网 中 。 从 4 网 处 理 机 往 GAP 放 入 数据 开始 ， 到 B 网 
处 理 机 从 GAP 中 取出 数据 并 检查 结束 ， 就 完成 了 一 次 数据 交换 。GAP 就 这 样 在 4 网 处 
理 机 与 B 网 处 理 机 之 间 来 回 往复 地 进行 实时 数据 交换 。 在 通过 GAP 交换 数据 的 同时 ，4 
网 和 B 网 仍然 是 相互 隔离 的 。 
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内 容 检测 控制 
基于 SCSI 的 安全 工作 
存储 器 库 数据 交换 机 


图 12-27 ”空气 隙 防火 墙 结构 


安全 网 阅 如 何 保证 网 络 的 安全 性 呢 ? 首先 ， 这 两 个 网 络 一 直 是 隔离 的 ， 在 两 个 网 络 
之 间 只 能 通过 GAP 来 交换 数据 。 当 两 个 网 络 的 处 理 机 或 GAP 三 者 中 的 任何 一 个 设备 出 
现 问题 时 ， 都 无 法 通过 GAP 进入 另 一 个 网 络 ， 因 为 它们 之 间 没 有 物理 连接 ; 第 二 ，GAP 
只 交换 数据 ， 不 直接 传输 TCP/IP 数据 包 ， 这 样 就 避免 了 TCPI/IP 的 漏洞 ， 第 三 ， 任 何 一 
方 接收 到 数据 ,都 要 对 数据 进行 严格 的 内 容 检测 和 病毒 扫描 , 严格 控制 非法 数据 的 交流 。 
GAP 安全 性 的 高 低 关键 在 于 其 对 数据 内 容 检测 的 强 弱 。 若 不 做 任何 检测 ， 虽 然 是 隔离 的 
两 个 网 络 ， 也 能 传输 非法 数据 、 病 毒 或 木马 ， 甚 至 利用 应 用 协议 漏洞 通过 GAP 设备 从 一 
个 网 络 直 接 进 入 另 一 个 网 络 。 此 时 ，GAP 的 作用 将 大 打折 扣 。 

空气 隙 防火 墙 的 工作 原理 与 应 用 级 网 关 非 常 相似 ， 要 把 空气 隙 技术 同 应 用 级 网 关 技 
术 加 以 区 分 是 非常 困难 的 。 两 者 的 主要 差别 是 : 空气 隙 技术 分 享 的 是 一 个 公共 的 SCSI 高 
速 硬盘 ， 而 应 用 级 网 关 技术 分 享 的 是 一 个 公共 的 内 存 。 另 外 ， 空 气 隙 防火 墙 由 于 采用 了 
外 部 进程 (SCSI 驱动 )， 所 以 性 能 上 受到 限制 ， 而 应 用 级 网 关 防 火 墙 是 在 内 核 存 储 空 间 
上 运行 内 核 硬化 的 安全 操作 系统 ， 在 同样 安全 性 的 情况 下 ， 性 能 却 大 大 地 提高 了 。 

关于 空气 隙 防火 墙 的 各 项 指标 还 有 待 于 由 第 三 方 权威 机 构 进行 检验 。 但 是 ， 目 前 大 
多 数 空气 隙 防火墙 产品 的 性 能 远 远 地 落后 于 传统 的 应 用 级 网 关 防 火 墙 产品 。 如 果 没 有 得 
到 权威 机 构 提 供 的 安全 性 报告 ， 对 许多 系统 管理 员 来 说 ， 使 用 空气 隙 防火 墙 不 能 不 考虑 
性 能 上 的 损失 。 


12.9.2 ”安全 性 分 析 


尽管 作为 物理 安全 设备 ， 安 全 网 闻 提 供 的 高 安全 性 是 显而易见 的 ， 但 是 由 于 其 工作 
原理 的 特殊 性 ， 决 定 了 安全 网 闻 存 在 一 些 不 可 避免 的 缺陷 。 

安全 性 和 易 用 性 始终 是 矛盾 的 。 在 已 有 的 防火 墙 、VPN 及 AAA 认证 设备 等 安全 设 
施 的 多 重 构架 环境 中 ， 安 全 网 闸 产 品 的 加 入 使 网 络 日 趋 复杂 化 : 正常 的 访问 连接 越 来 越 
多 地 受到 各 种 不 可 见 和 不 易 见 的 因素 的 干扰 和 影响 ， 已 经 配置 好 的 各 种 网 络 产品 和 安全 
产品 ， 可 能 由 于 安全 网 闸 的 配置 不 当 而 受到 影响 ， 许 多 网 络 由 于 采用 了 多 重 过 滤 的 安全 
结构 ， 其 性 能 本 来 就 有 所 下 降 ， 而 安全 网 闸 的 加 入 使 网 络 性 能 瓶颈 问题 更 加 突出 。 因 为 
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电子 开关 切换 速率 的 固有 特性 和 安全 过 滤 功 能 的 复杂 化 ， 目 前 安全 网 闸 的 交换 速率 已 接 
近 该 技术 的 理论 速率 极限 。 可 以 预见 ， 在 不 久 的 将 来 ， 随 着 高 速 网 络 技术 的 发 展 ， 安 全 
网 闸 在 交换 速率 上 的 问题 将 会 成 为 阻碍 网 络 数据 交换 的 重要 因素 。 

总 之 ， 空 气 隙 防火 墙 具有 以 下 优点 : 

(1) 切断 了 与 防火 墙 后 面 服务 器 的 直接 连接 ， 消 除了 隐 信 道 攻击 的 风险 。 

(2) 采用 强 应 用 代理 对 协议 头 长 度 进行 检测 ， 因 此 能 够 消除 缓冲 器 溢出 攻击 。 

(3) 与 应 用 级 网 关 结 合 使 用 ， 空 气 隙 防火 墙 能 提供 很 高 的 安全 性 。 

空气 隙 防火 墙 具 有 以 下 缺点 

(1) 它 会 在 很 大 程度 上 降低 网 络 的 性 能 。 

(2) 只 支持 静态 数据 交换 ， 不 支持 交互 式 访问 。 

(3) 适用 范围 窗 ， 必 须根 据 具体 应 用 开发 专用 的 交换 模块 。 

(4) 系统 配置 复杂 ， 安 全 性 在 很 大 程度 上 取决 于 网 络 管理 员 的 技术 水 平 。 

(5) 结构 复杂 ， 实 施 费 用 较 高 。 

(6) 可 能 造成 其 他 安全 产品 不 能 正常 工作 ， 并 带 来 瓶颈 问题 。 


p10 分布 式 防火 墙 











传统 意义 上 的 边界 防火 墙 用 于 限制 被 保护 系统 内 部 网 络 与 外 部 网 络 〈 通 常 是 因 特 
网 ) 之 间 进 行 信息 存 取 、 传 递 的 操作 ， 它 所 处 的 位 置 在 内 部 网 络 与 外 部 网 络 之 间 。 实 
际 上 ， 所 有 以 前 出 现 的 各 种 不 同类 型 的 防火 墙 ， 从 简单 的 包 过 滤 到 应 用 层 代 理 以 至 自 
适应 代理 ， 都 是 基于 一 个 共同 的 假设 ， 那 就 是 防火 墙 把 内 部 网 络 一 端的 用 户 看 成 是 可 
信任 的 ， 外 部 网 络 一 端的 用 户 则 都 被 作为 潜在 的 攻击 者 来 对 待 。 这 种 假设 是 整个 防火 
墙 开 发 的 指导 思想 和 工作 机 制 。 但 随 着 最 近 几 年 各 种 网 络 技术 的 发 展 和 各 种 新 的 攻击 
情况 不 断 出 现 ， 防 火 墙 “ 防 外 不 防 内 ”的 特点 成 为 导致 安全 隐患 的 一 个 新 因素 。 据 统 
计 ,80% 的 攻击 和 越权 访问 来 自 于 内 部 ,而 边界 防火 墙 在 对 付 网 络 内 部 威胁 时 束手无策 。 
如 何 控制 内 部 网 络 的 攻击 成 为 一 个 新 的 课题 ， 一 种 新 型 防火 墙 “分 布 式 防火 墙 ” 
应 运 而 生 。 


12.10.1 工作 原理 


分 布 式 防火 墙 通常 由 3 个 部 分 组 成 ， 分 别 是 网 络 防火 墙 、 主 机 防火 墙 和 管理 中 心 。 

网 络 防火 墙 用 于 内 部 网 与 外 部 网 之 间 ， 以 及 内 部 网 各 子 网 之 间 的 防护 。 与 传统 边界 
式 防火 墙 相 比 ， 它 多 了 一 种 用 于 对 内 部 子 网 之 间 的 安全 防护 层 ， 这 样 整个 网 络 的 安全 防 
护 体系 就 显得 更 加 全 面 可 靠 。 不 过 在 功能 上 与 传统 的 边界 式 防火 墙 类 似 。 
主机 防火 墙 用 于 对 网 络 中 的 服务 器 和 桌面 机 进行 防护 。 这 也 是 传统 边界 式 防火 墙 所 
不 具有 的 ， 也 算是 对 传统 边界 式 防火 墙 在 安全 体系 方面 的 一 个 完善 。 主 机 防火 墙 通常 是 
内 核 模式 应 用 ， 它 位 于 操作 系统 OSI 栈 的 底部 ， 直 接 面 对 网 卡 ， 它 们 对 所 有 的 信息 流 进 
行 过 滤 与 限制 。 也 有 一 些 国际 著名 网 络 设备 开发 商 〈 如 3COM 和 Cisco 等 ) 以 PCI 卡 或 
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PCMCIA 卡 的 形式 开发 了 主机 防火 墙 。 

管理 中 心 是 一 个 服务 器 软件 ， 负 责 总 体 安 全 策略 的 策划 、 管 理 、 分 发 及 日 志 的 汇总 。 

这 里 的 主机 防火 墙 与 个 人 防火 墙 有 相似 之 处 ， 如 它们 都 对 应 个 人 系统 ， 但 其 差别 又 
是 本 质 性 的 。 首 先 它们 管理 方式 迎 然 不 同 ， 个 人 防火 墙 的 安全 策略 由 系统 使 用 者 自己 设 
署 ， 目 标 是 防 外 部 攻击 ， 而 针对 桌面 应 用 的 主机 防火 墙 的 安全 策略 由 整个 系统 的 管理 员 
统一 安排 和 设置 ， 除 了 对 该 桌面 机 起 到 保护 作用 外 ， 也 可 以 对 该 桌面 机 的 对 外 访问 加 以 
控制 ， 并 且 这 种 安全 机 制 是 桌面 机 的 使 用 者 不 可 见 和 不 可 改动 的 。 其 次 ， 不 同 于 个 人 防 
火 墙 面向 个 人 用 户 ， 针 对 桌面 应 用 的 主机 防火 墙 是 面向 企业 级 客户 的 ， 它 与 分 布 式 防火 
墙 其 他 产品 共同 构成 一 个 企业 级 应 用 方案 ， 并 可 以 形成 一 个 安全 策略 中 心 统一 管理 、 安 
全 检查 机 制 分 散布 置 的 分 布 式 防火 墙 体系 结构 。 


12.10.2 ”分 布 式 防火 墙 的 优 缺 点 


1. 优点 

(1) 增强 了 系统 安全 性 。 增 加 了 针对 主机 的 入 侵 检 测 和 防护 功能 ， 加 强 了 对 来 自 内 
部 攻击 的 防范 ， 可 以 实施 全 方位 的 安全 策略 。 

(2) 提高 了 系统 性 能 。 消 除了 结构 性 瓶颈 问题 ， 提 高 了 系统 性 能 。 

(3) 提供 了 系统 的 扩展 性 。 分 布 式 防火 墙 随 系统 扩充 提供 了 安全 防护 无 限 扩充 的 
能 力 。 

(4) 可 实施 主机 策略 。 对 网 络 中 的 各 节点 可 以 起 到 更 安全 的 防护 。 

2. RA 

(1) 系统 部 署 时 间 比 较 长 、 复 杂 度 高 ， 后 期 的 维护 工作 量 较 大 。 

(2) 软件 实现 的 主机 防火 墙 有 可 能 受到 来 自 系统 内 部 的 攻击 ， 或 者 受到 系统 自身 安 
全 性 的 影响 。 


fon 防火墙 的 发 展 趋势 














未 来 防火 墙 的 发 展 趋势 是 朝 高 速 、 多 功能 化 、 更 安全 的 方向 发 展 。 为 了 满足 高 速 化 ， 
防火 墙 必须 从 现在 的 以 软件 为 主 向 以 硬件 为 主 转化 。 硬 件 化 评判 的 标准 是 看 在 数据 转发 
控制 的 过 程 中 ， 是 由 软件 完成 还 是 硬件 完成 。 以 往 的 防火 墙 产品 ， 大 多 通过 编写 软件 ， 
利用 CPU 的 运算 能 力 进行 数据 处 理 ， 而 硬件 化 的 系统 应 该 使 用 专用 的 芯片 级 处 理 机 制 ， 
如 使 用 ASIC 防火 墙 芯片 、 网 络 处 理 器 芯片 和 FPGA 芯片 。 


12.11.1 ”硬件 化 

在 网 络 带宽 日 渐 增 大 的 情况 下 ， 防 火 墙 的 性 能 成 为 关注 的 焦点 。 要 解决 性 能 方面 的 
问题 ， 唯 一 的 出 路 就 是 硬件 化 。 如 同 路 由 器 的 发 展 经 过 了 由 软 到 硬 的 转变 一 样 ， 防 火 墙 
产品 也 走 到 了 这 个 关口 。 从 性 能 上 看 传统 的 CPU 主机 + 软件 的 方式 ， 无 论 是 系统 总 线 、 
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VO 接口 ， 还 是 CPU 的 处 理 能 力 都 显得 力不从心 ， 防 火 墙 正在 成 为 网 络 的 最 大 的 瓶颈 。 
因此 如 何 把 防火 墙 从 软件 转变 为 硬件 以 提高 性 能 ， 成 为 防火 墙 发 展 道路 上 的 一 个 新 
问题 。 

目前 防火 墙 的 硬件 化 主要 有 两 条 路 : 基于 ASIC 芯片 的 防火 墙 和 基于 网 络 处 理 器 的 
防火 墙 。 下 面 分 析 这 两 种 技术 架构 各 自 的 特点 。 

网 络 处 理 器 是 专门 为 处 理 数据 包 而 设计 的 可 编程 处 理 器 ， 它 的 硬件 特点 是 内 部 包含 
多 个 数据 处 理 引擎 , 这 些 引擎 可 以 并 发 进行 数据 处 理工 作 , 在 处 理 2 一 4 层 的 分 组 数据 上 
比 通用 处 理 器 具有 明显 的 优势 。 网 络 处 理 器 对 数据 包 处 理 的 一 般 性 任务 进行 了 优化 ， 如 
TCPAP 数据 的 校 验 和 计算 、 包 分 类 、 路 由 查找 等 。 同 时 硬件 体系 结构 的 设计 也 大 多 采用 
高 速 的 接口 技术 和 总 线 规范 ， 具 有 较 高 的 IO 能 力 。 这 样 基 于 网 络 处 理 器 设计 的 网 络 设 
备 的 包 处 理 能 力 得 到 了 很 大 提升 。 它 具有 以 下 几 个 方面 的 特性 : 完全 的 可 编程 性 、 简 单 
的 编程 模式 、 最 大 化 系统 灵活 性 、 高 处 理 能 力 、 高 度 功能 集成 、 开 放 的 编程 接口 和 第 三 
方 支持 能 力 。 基 于 网 络 处 理 器 架构 的 防火 墙 与 基于 通用 CPU 架构 的 防火 墙 相 比 ， 在 性 能 
上 可 以 得 到 本 质 的 提高 。 网 络 处 理 器 能 弥补 通用 CPU 架构 性 能 的 不 足 ， 同 时 又 不 需要 具 
备 开发 基于 ASIC 技术 的 防火 墙 所 需要 的 大 量 资金 和 技术 积累 。 更 关键 的 是 ， 网 络 处 理 
器 是 可 编程 的 ， 对 于 防火 墙 产品 ， 这 种 灵活 性 是 非常 必要 的 。 

第 2 种 方案 是 采用 基于 ASIC 技术 的 架构 .Netscreen 公司 是 采用 该 技术 的 代表 厂家 。 
采用 ASIC 技术 可 以 为 防火 墙 应 用 设计 专门 的 数据 包 处 理 流水 线 ， 优 化 存储 器 等 资源 的 
利用 ， 是 公认 的 实现 千 兆 线 速 防火 墙 、 满 足 干 兆 骨 干 级 应 用 的 技术 方案 。Netscreen 公司 
也 因此 取得 了 令 人 瞩目 的 成 功 。 但 ASIC 技术 开发 成 本 高 ， 开 发 周期 长 且 难度 大 ， 一 般 
的 防火 墙 厂商 不 具备 相应 的 技术 和 资金 实力 。 另 外 , ASIC 的 灵活 性 也 是 阻碍 其 被 采用 的 
原因 之 一 。 目 前 也 有 些 设计 方案 采用 FPGA+ASIC 的 方式 ， 以 获取 足够 的 性 能 和 相对 的 
灵活 性 。 


12.11.2 ”多 功能 化 


多 功能 也 是 防火 墙 的 发 展 方向 之 一 ， 鉴 于 目前 路 由 器 和 防火 墙 价格 都 比较 高 ， 组 网 
环境 也 越 来 越 复杂 ， 一 般 用 户 总 希望 防火 墙 可 以 支持 更 多 的 功能 ， 满 足 组 网 和 节省 投资 
的 需要 。 例 如 ， 防 火 墙 支持 广域网 口 ， 并 不 影响 安全 性 ， 但 在 某 些 情况 下 却 可 以 为 用 户 
节省 一 台 路 由 器 ， 支 持 部 分 路 由 器 协议 ， 如 路 由 、 拨 号 等 ， 可 以 更 好 地 满足 组 网 需要 ; 
支持 IPSec VPN， 可 以 利用 因特网 组 建安 全 的 专用 通道 ， 既 安全 又 节省 了 专线 投资 。 据 
IDC 统计 ， 国 外 90% 的 加 密 VPN 都 是 通过 防火 墙 实现 的 。 

不 仅 如 此 , 防火 墙 还 被 要 求 不 再 仅仅 是 一 个 被 动 安全 产品 , 要 具有 主动 安全 的 功能 ， 
比如 具有 入 侵 检 测 功 能 或 者 具备 与 入 侵 检测 产品 联动 的 功能 ， 以 实现 对 攻击 行为 的 及 时 
阻 断 。 防 火 墙 需要 提供 认证 机 制 ， 无 论 是 防火 墙 本 地 认证 或 者 是 第 三 方 认 证 ， 比 如 
Radius 等 ， 来 实现 对 不 同 的 内 部 用 户 ， 提 供 不 同 的 网 络 访问 权限 。 甚 至 随 着 IPv6 网 络 的 
出 现 ， 从 IPv4 到 IPv6 网 络 的 相互 转换 也 可 能 作为 对 防火 墙 功能 的 一 个 新 的 需求 。 作 为 
网 络 出 口 CAO) 的 设备 ， 由 于 路 由 器 功能 的 相对 明确 ， 越 来 越 多 的 功能 都 将 被 赋予 防 
火 墙 。 
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12.11.3 ”安全 性 


调查 显示 ， et ey ta 
墙 最 重要 的 一 点 : 安全 性 。 但 是 ， 随 着 防火 墙 产品 性 能 与 功能 的 提升 ， 未 来 对 防火 墙 的 
oie ee 
前 广泛 应 用 的 基于 状态 检测 的 包 过 滤 防 火 墙 ， 其 安全 性 并 不 是 最 高 的 。 由 于 检测 的 深度 
只 能 达到 传输 层 ， 对 于 针对 应 用 层 的 攻击 无 能 为 力 ， 安 全 性 有 待 进一步 提高 。 随 着 算法 
和 芯片 技术 的 发 展 ， 防 火 墙 会 更 多 地 参与 应 用 层 分 析 ， 为 应 用 提供 更 安全 的 保障 。 在 信 
息 安全 的 发 展 与 对 抗 过 程 中 ， 防 火 墙 技术 一 定 会 日 新 月 异 ， 从 而 在 信息 安全 的 防御 体系 
中 起 到 堡垒 的 作用 。 




















习 A 
一 、 填 空 题 
1. 防火 墙 应 位 于 
A. 公司 网 络 内 部 B. 公司 网 络 外 部 
C. 公司 网 络 与 外 部 网 络 之 间 ”DD. 都 不 对 

2. 应 用 网 关 的 安全 性 包 过 滤 防 火 墙 。 

A. 不 如 B. 超过 C. 等 于 D. 都 不 对 

3. 防火 墙 可 以 分 为 
和 7 种 类 型 。 

4. 静态 包 过 滤 防 火 墙 工作 于 OSI 模型 的 层 上 , 它 对 数据 包 的 某 些 特定 域 进 
行 检查 ， 这 些 特定 域 包 括 : ` 、 和 o 

5, AE REJAH LIT OSI BEE Jae, 它 对 数据 包 的 某 些 特定 域 进 
行 检查 ， 这 些 特定 域 包 括 : 和 

6. 电路 级 网 关 工作 于 Ost 模型 的 i se AE > 
A All 

7. 应 用 级 同 关 工作 于 OSI 模型 的 ey mT DONT LA OH, 因 
此 其 安全 性 最 高 。 

8. 状态 检测 防火 墙 工作 于 OSI 模型 的 层 上 , 所 以 在 理论 上 具有 很 高 的 安全 
性 ， 但 是 现 有 的 大 多 数 状态 检测 防火 墙 只 工作 于 层 上 ， 因 此 其 安全 性 与 包 过 滤 
防火 墙 相 当 。 

9. 切换 代理 在 连接 建立 阶段 工作 于 OSI 模型 的 层 上 ， 当 连接 建立 完成 之 
后 ， 再 切换 到 R, BITEF OST 模型 的 层 上 。 

10. 空气 隙 防火墙 也 称 做 。” ， 它 在 外 网 和 内 网 之 间 实 现 了 真正 的 

、 思 考题 





1. 防火 墙 一般 有 几 个 接口 ? 什么 是 防火 墙 的 非 军事 区 (DMZ) ? 它 的 作用 是 什么 ? 
2. 为 什么 防火 墙 要 具有 NAT 功能 ? 在 NAT 中 为 什么 要 记录 端口 号 ? 
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3. 系统 中 提 到 了 NAT 的 几 种 实现 方式 ， 试 着 给 出 M-N 的 NAT 转换 算法 。 

4. 防火 墙 必须 同时 兼 有 路 由 器 功能 吗 ? 为 什么 ? 

5. 简 述 静态 包 过 滤 防 火 墙 的 工作 原理 ， 并 分 析 其 优 缺 点 。 动 态 包 过 滤 防 火 墙 与 静态 
包 过 滤 防 火 墙 的 主要 区 别 是 什么 ? 

6. 分 组 过 滤 的 3 大 操作 是 什么 ? 

7. 结合 实际 操作 ， 描 述 动态 防火 墙 在 TCP 连接 终止 时 的 状态 转换 。 

8. 电路 级 网 关 与 包 过 滤 防 火 墙 有 何不 同 ? 简 述 电路 级 网 关 的 优 缺 点 。 

9. 应 用 级 网 关 与 电路 级 网 关 有 何不 同 ? 简 述 应 用 级 网 关 的 优 缺 点 。 

10. 下 载 TIS， 配 置 应 用 层 网 关 防 火 墙 。 

11. 状态 检测 防火 墙 与 应 用 级 网 关 有 何不 同 ? 简 述 状态 检测 防火 墙 的 优 缺 点 。 

12. 切换 代理 在 连接 建立 阶段 工作 于 会 话 层 ， 而 在 连接 完成 后 工作 于 网 络 层 ， 这 样 
的 设计 有 何 好 处 ? 简 述 切换 代理 的 优 缺 点 。 

13. 为 什么 说 空气 隙 防火 墙 能 够 实现 物理 隔离 ? 简 述 空气 隙 防火 墙 的 优 缺 点 。 

14. 防火 墙 有 什么 局 限 性 ? 

15. 软件 防火 墙 与 硬件 防火 墙 之 间 的 区 别 是 什么 ? 
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第 13 Fe 
人 侵 检 测 技术 


_ 19.4 入侵 检测 概述 _ 


入 侵 检 测 系统 (Intrusion Detection System, IDS) 的 发 展 已 有 30 年 历史 。1980 年 4 
月 , James P Anderson 为 美国 空军 做 了 一 份 题 为 “Computer Security Threat Monitoring and 
Surveillance”( 计 算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 ， 第 一 次 详细 阐述 了 入 侵 检 测 的 
概念 。 他 提出 了 一 种 对 计算 机 系统 风险 和 威胁 进行 分 类 的 方法 , 并 将 威胁 分 为 外 部 渗透 、 
内 部 渗透 和 不 法 行为 3 种 ， 还 提出 了 利用 审计 跟踪 数据 监视 入 侵 活 动 的 思想 。 这 份 报告 
被 公认 为 是 入 侵 检 测 的 开山 之 作 。 

从 1984 年 到 1986 年 ， 乔 治 敦 大 学 的 Dorothy Denning 和 SRICSL (SRI 公司 计算 机 
科学 实验 室 ) 的 Peter Neumann 研究 设计 了 一 个 实时 入 侵 检测 系统 模型 ， 取 名 为 入 侵 检 
测 专家 系统 (Intrusion Detection Expert System，IDES )。 该 模型 由 6 个 部 分 组 成 : 主体 、 
对 象 、 审 计 记 录 、 轮 廓 特征 、 异 常 记录 和 活动 规则 。1988 年 ，SRICSL 的 Teresa Lunt 
等 人 改进 了 Denning 的 入 侵 检 测 模型 ， 并 开发 出 了 一 个 新 型 的 IDES。 该 系统 包括 一 个 异 
常 探 测 器 和 一 个 专家 系统 ， 分 别 用 于 统计 异常 模型 的 建立 和 基于 规则 的 特征 分 析 检测 。 

1990 年 是 入 侵 检测 系统 发 展 史 上 的 一 个 分 水 岭 ， 加 州 大 学 戴 维 斯 分 校 的 L.T. 
Heberlein 等 人 开发 出 了 网 络 安全 监视 器 (Network Security Monitor，NSM)。 该 系统 第 一 
次 直接 将 网 络 流 作 为 审计 数据 来 源 ， 因 而 可 以 在 不 将 审计 数据 转换 成 统一 格式 的 情况 下 
监控 异种 主机 。 此 后 ， 入 侵 检 测 系统 发 展 史 翻 开 了 新 的 一 页 ， 两 大 阵营 正式 形成 : 基于 
网 络 的 IDS 和 基于 主机 的 IDS。 

IDS 不 间断 地 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 上 收集 信息 ， 集 中 或 分 布 
地 分 析 信息 ， 判 断 来 自 网 络 内 部 和 外 部 的 入 侵 企 图 ， 并 实时 发 出 报警 。IDS 的 主要 作 


j 征 : 




















~ 








通过 检测 和 记录 网 络 中 的 攻击 事件 ， 阻 断 攻 击 行为 ， 防 止 入 侵 事 件 的 发 生 。 
检测 其 他 未 授权 操作 或 安全 违规 行为 。 

统计 分 析 黑 客 在 攻击 前 的 探测 行为 ， 预 先 给 管理 员 发 出 警报 。 

告 计算 机 系统 或 网 络 中 存在 的 安全 威胁 。 
提供 有 关 攻 击 的 详细 信息 ， 帮 助 管理 员 诊断 和 修补 网 络 中 存在 的 安全 弱点 。 
在 大 型 复杂 的 计算 机 网 络 中 部 署 入 侵 检测 系统 ， 提 高 网 络 安全 管理 的 质量 。 
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13.1.1 入 侵 检 测 的 概念 


入 侵 (Intrusion〉 是 个 广义 概念 ， 它 不 仅 包括 攻击 者 (如 恶意 的 黑客 ) 非法 取得 系 
统 的 控制 权 的 行为 ， 也 包括 他 们 对 系统 漏洞 信息 的 收集 ， 并 由 此 对 信息 系统 造成 危害 的 
行为 。 

美国 国家 安全 通信 委员 会 (NSTAC) 下 属 的 入 侵 检测 小 组 ADSG) 在 1997 年 给 出 
的 关于 “入 侵 检 测 ”(Intrusion Detection) 的 定义 是 : 入 侵 检测 是 对 企图 入 侵 、 正 在 进行 
的 入 侵 或 已 经 发 生 的 入 侵 行 为 进行 识别 的 过 程 。 

关于 “入 侵 检测 ”的 定义 ， 人 们 还 有 很 多 不 同 的 提 法 ， 其 中 包括 如 下 几 种 说 法 : 

(1) 检测 对 计算 机 系统 的 非 授 权 访问 。 

(2) 对 系统 的 运行 状态 进行 监视 ， 发 现 各 种 攻击 企图 、 攻 击 行为 或 攻击 结果 ， 以 保 
证 系统 资源 的 保密 性 、 完 整 性 和 可 用 性 。 

(3) 识别 针对 计算 机 系统 和 网 路 系统 或 广义 上 的 信息 系统 的 非法 攻击 ， 包 括 检测 外 
部 非法 入 侵 者 的 恶意 攻击 或 探测 ， 以 及 内 部 合法 用 户 越权 使 用 系统 资源 的 非法 行为 。 

所 有 能 够 执行 入 侵 检测 任务 和 实现 入 侵 检测 功能 的 系统 都 可 称 为 入 侵 检 测 系统 
(Intrusion Detection System, IDS), 其 中 包括 软件 系统 或 软 、 硬 件 结 合 的 系统 。 一 个 通用 
的 入 侵 检 测 系 统 模型 如 图 13-1 所 示 。 
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目标 系统 





图 13-1 通用 的 入 侵 检 测 系统 模型 


在 图 13-1 中 ， 通 用 入 侵 检测 系统 模型 主要 由 4 个 部 分 组 成 。 

(1) 数据 收集 器 (又 称 探测 器 )。 主 要 负责 收集 数据 。 探 测 器 的 输入 数据 流 包 括 任何 
可 能 包含 入 侵 行为 线索 的 系统 数据 ， 如 各 种 网 络 协议 数据 包 、 系 统 日 志文 件 和 系统 调用 
记录 等 。 探 测 器 将 这 些 数据 收集 起 来 ， 然 后 再 发 送 到 检测 器 进行 处 理 。 

(2) 检测 器 〈 又 称 分 析 器 或 检测 引擎 )。 负 责 分 析 和 检测 入 侵 的 任务 ， 并 向 控制 器 发 
出 警报 信号 。 

G) 知识 库 。 为 检测 器 和 控制 器 提供 必需 的 数据 信息 支持 。 这 些 信 息 包括 : 用 户 历 
史 活 动 档案 或 检测 规则 集合 等 。 

(4) 控制 器 。 根 据 从 检测 器 发 来 的 警报 信号 ， 人 工 或 自动 地 对 入 侵 行为 做 出 响应 。 

此 外 ， 大 多 数 入 侵 检 测 系统 都 会 包含 一 个 用 户 接口 组 件 ， 用 于 观察 系统 的 运行 状态 
和 输出 信号 ， 并 对 系统 的 行为 进行 控制 。 
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13.1.2 IDS 的 主要 功能 


入 侵 检测 是 对 传统 安全 产品 的 合理 补充 ， 帮 助 系统 对 付 网 络 攻击 ， 扩 展 了 系统 管理 
员 的 安全 管理 能 力 〈 包 括 安 全 审计 、 监 视 、 进 行 识别 和 响应 )， 提 高 了 信息 安全 基础 结构 
的 完整 性 。 它 从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ， 并 分 析 这 些 信息 ， 查 看 网 络 
中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 入 侵 检 测 被 认为 是 防火 墙 之 后 的 第 二 
道 安全 闸门 ， 能 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 监测 ， 从 而 提供 对 内 部 攻击 、 外 
部 攻击 和 误 操 作 的 实时 保护 。 以 上 功能 都 是 通过 执行 以 下 任务 来 实现 : 

(1) 监视 、 分 析 用 户 及 系统 的 活动 。 

(2) 系统 构造 和 弱点 的 审计 。 

G) 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 员 报 警 。 

(4) 异常 行为 模式 的 统计 分 析 。 

(5) 评估 重要 系统 和 数据 文件 的 完整 性 。 

(6) 操作 系统 的 审计 跟踪 管理 ， 并 识别 用 户 违反 安全 策略 的 行为 。 

对 于 一 个 成 功 的 入 侵 检测 系统 来 说 , 它 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系统 ( 包 
括 程序 、 文 件 和 硬件 设备 ) 的 任何 变更 ， 还 能 给 网 络 安全 策略 的 制定 提供 依据 。 更 为 重 
要 的 是 ， 它 应 该 易于 管理 、 配 置 简单 ， 即 使 非 专业 人 员 也 易于 使 用 。 而 且 ， 入 侵 检测 的 
规模 还 应 根据 网 络 威胁 、 系 统 构造 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 现 入 侵 
后 会 及 时 做 出 响应 ， 包 括 切断 网 络 连接 、 记 录 事 件 和 报警 等 。 

IDS 的 主要 功能 如 下 : 

(1) 网 络 流量 的 跟踪 与 分 析 功 能 。 跟 踪 用 户 进出 网 络 的 所 有 活动 ， 实 时 检测 并 分 析 
用 户 在 系统 中 的 活动 状态 ， 实 时 统计 网 络 流量 ， 检 测 拒绝 服务 攻击 等 异常 行为 。 

(2) 已 知 攻击 特征 的 识别 功能 。 识 别 特定 类 型 的 攻击 ， 并 向 控制 台 报警 ， 为 防御 提 
供 依据 。 根 据 定制 的 条 件 过 滤 重 复 警 报 事件 ， 减 轻 传输 与 响应 的 压力 。 

G) 异常 行为 的 分 析 、 统 计 与 响应 功能 。 分 析 系 统 的 异常 行为 模式 ,统计 异常 行为 ， 
并 对 异常 行为 做 出 响应 。 

(4) 特征 库 的 在 线 和 离线 升级 功能 。 提 供 入 侵 检 测 规则 在 线 和 离线 升级 ， 实 时 更 新 
入 侵 特 征 库 ， 不 断 提高 IDS 的 入 侵 检测 能 力 。 

(5) 数据 文件 的 完整 性 检查 功能 。 检 查 关键 数据 文件 的 完整 性 ， 识 别 并 报告 数据 文 





件 的 改动 情况 。 
(6) 自 定义 的 响应 功能 。 定 制 实时 响应 策略 ， 根 据 用 户 定义 ， 经 过 系统 过 滤 ， 对 警 
报 事 件 及 时 响应 。 


CT) 系统 漏洞 的 预报 警 功能 。 对 未 发 现 的 系统 漏洞 特征 进行 预报 警 。 

(8) IDS 探测 器 集中 管理 功能 。 通 过 控制 台 收 集 探 测 器 的 状态 和 报警 信息 ， 控 制 各 
个 探测 器 的 行为 。 

一 个 高 质量 的 IDS 产品 除了 有 具备 以 上 入 侵 检测 功能 外 ， 还 必须 具备 较 高 的 可 管理 性 
和 自身 安全 性 等 功能 。 
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13.1.3 IDS 的 任务 


1. 信息 收集 

IDS 的 第 一 项 任务 是 信息 收集 。IDS 所 收集 的 信息 内 容 包 括 用 户 〈 合 法 用 户 和 非法 
用 户 ) 在 网 络 、 系 统 、 数 据 库 及 应 用 系统 中 活动 的 状态 和 行为 。 为 了 准确 地 收集 用 户 的 
信息 活动 ， 需 要 在 信息 系统 中 的 若干 个 关键 点 〈 包 括 不 同 网 段 、 不 同 主机 、 不 同 数据 库 
有 务 器 、 不 同 应 用 服务 器 等 处 ) 设置 信息 探测 点 。 

IDS 可 利用 的 信息 来 源 如 下 : 

(1) 系统 和 网 络 的 日 志文 件 

日 志文 件 中 包含 发 生 在 系统 和 网 络 上 的 异常 活动 的 证 据 。 通 过 查看 日 志文 件 ， 能 够 
发 现 黑客 的 入 侵 行为 。 

(2) 目录 和 文件 中 的 异常 改变 

信息 系统 中 的 目录 和 文件 中 的 异常 改变 (包括 修改 、 创 建 和 删除 ), 特别 是 那些 限制 
访问 的 重要 文件 和 数据 的 改变 ， 很 可 能 就 是 一 种 入 侵 行为 。 黑 客 经 常 替换 、 修 改 和 破坏 
他 们 获得 访问 权 的 系统 上 的 文件 ， 替 换 系统 程序 或 修改 系统 日 志文 件 ， 达 到 隐藏 他 们 活 
动 痕迹 的 目的 。 

G) 程序 执行 中 的 异常 行为 

信息 系统 上 的 程序 执行 一 般 包 括 操作 系统 、 网 络 服务 、 用 户 启动 程序 和 特定 目的 的 
应 用 。 每 个 在 系统 上 执行 的 程序 由 一 个 或 多 个 进程 来 实现 。 每 个 进程 执行 在 具有 不 同 权 
限 的 环境 中 ， 这 种 环境 控制 着 进程 可 访问 的 系统 资源 、 程 序 和 数据 文件 等 。 一 个 进程 出 
现 了 异常 的 行为 ， 表 明 黑 客 可 能 正在 入 侵 系 统 。 

(4) 物理 形式 的 入 侵 信息 

物理 形式 的 入 侵 包括 两 个 方面 的 内 容 : 一 是 对 网 络 硬件 的 非 授权 连接 ， 二 是 对 物理 
资源 的 未 授权 访问 。 黑 客 会 想方设法 去 突破 网 络 的 周边 防卫 ， 如 果 他 们 能 够 在 物理 上 访 
问 内 部 网 ， 就 能 安装 他 们 自己 的 设备 和 软件 。 依 此 ， 黑 客 就 可 以 知道 网 上 存在 的 不 安全 
(或 未 授权 使 用 ) 的 设备 ， 然 后 利用 这 些 设 备 访问 网 络 资源 。 


2. 信息 分 析 

对 收集 到 的 上 述 4 类 信息 ， 包 括 网 络 、 系 统 、 数 据 及 用 户 活 动 的 状态 和 行为 信息 等 
进行 模式 匹配 、 统 计 分 析 和 完整 性 分 析 ， 得 到 实时 检测 所 必需 的 信息 。 

(1) 模式 匹配 

模式 匹配 技术 ， 即 模式 发 现 技术 ， 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 模式 的 特 
征 数据 库 进 行 比 较 ， 从 而 发 现 违背 安全 策略 的 行为 。 假 定 所 有 入 侵 行为 和 手段 〈 及 其 变 
种 ) 都 能 够 表达 为 一 种 模式 或 特征 ， 那 么 所 有 已 知 的 入 侵 方法 都 可 以 用 匹配 的 方法 来 发 
现 。 模 式 匹配 的 关键 是 如 何 表达 入 侵 模式 ， 把 入 侵 行为 与 正常 行为 区 分 开 来 。 模 式 匹配 
的 优点 是 误 报 率 小 ， 其 局 限 性 是 只 能 发 现 已 知 攻击 ， 却 对 未 知 攻 击 无 能 为 力 。 

(2) 统计 分 析 

统计 分 析 是 入 侵 检测 常用 的 异常 发 现 方法 。 假 定 所 有 入 侵 行 为 都 与 正常 行为 不 同 ， 
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如 果 能 建立 系统 正常 运行 的 行为 轨迹 ， 那 么 就 可 以 把 所 有 与 正常 轨迹 不 同 的 系统 状态 视 
为 可 疑 的 入 侵 企 图 。 统 计 分 析 方 法 就 是 先 创建 系统 对 象 〈( 如 用户、 文件 、 目 录 和 设备 等 ) 
的 统计 属性 (如 访问 次 数 、 操 作 失 败 次 数 、 访 问 地 点 、 访问 时 间 、 访 问 延 时 等 )， 再 将 信 
息 系统 的 实际 行为 与 统计 属性 进行 比较 。 当 观察 值 在 正常 值 范围 之 外 时 ， 则 认为 有 入 侵 
行为 发 生 。 统 计 分 析 模 型 常用 的 测量 参数 包括 审计 事件 的 数量 、 间 隔 时 间 、 资 源 消耗 情 
况 等 。 

常用 的 5 种 入 侵 检测 统计 模型 如 下 : 

@ 操作 模型 。 该 模型 假设 可 将 测量 结果 与 一 些 固 定 指标 比较 来 发 现 异常 , 固定 指标 
可 以 根据 经 验 值 或 一 段 时 间 内 的 统计 平均 值 获得 。 例 如 ， 在 短 时 间 内 的 多 次 失败 的 登录 
很 有 可 能 是 口令 猜测 攻击 。 
© 方差 。 该 模型 计算 参数 的 方差 ， 设 定 其 置信 区 间 ， 当 测量 值 超过 置信 区 间 的 范围 
时 ， 表 明 可 能 有 异常 事件 。 

© 多 元 模型 。 该 模型 是 操作 模型 的 扩展 ， 通 过 同时 分 析 多 个 参数 实现 检测 。 

© 马尔 柯 夫 过 程 模型 。 该 模型 将 每 种 类 型 的 事件 定义 为 系统 状态 , 用 状态 转移 矩阵 
来 表示 状态 的 变化 。 当 一 个 事件 发 生 时 ， 若 在 状态 矩阵 中 该 事件 的 转移 概率 较 小 ， 则 可 
能 是 异常 事件 。 

© 时 间 序列 分 析 。 该 模型 将 事件 计数 与 资源 耗 用 根据 时 间 排 成 序列 ， 如果 一 个 新 事 
件 在 该 时 间 发 生 的 概率 较 低 ， 则 该 事件 可 能 是 入 侵 。 

统计 分 析 方 法 的 最 大 优点 是 它 可 以 “学 习 ” 用 户 的 使 用 习惯 ， 从 而 具有 较 高 检 出 率 
与 可 用 性 ， 缺 点 是 误 报 率 较 高 ， 且 不 适应 用 户 正常 行为 的 突然 改变 。 

(3) 完整 性 分 析 

完整 性 分 析 检 测 某 个 文件 或 对 象 是 否 被 更 改 。 完 整 性 分 析 常 利用 杂凑 函数 〈 例 如 
SHA-256)， 它 能 识别 微小 的 变化 。 该 方法 的 优点 是 只 要 某 个 文件 或 对 象 有 任何 改变 ， 都 
能 够 被 发 现 。 缺 点 是 当 完 整 性 分 析 未 开启 时 ， 不 能 主动 发 现 入 侵 行为 。 

3. 安全 响应 

IDS 在 发 现 入 侵 行 为 后 会 及 时 做 出 响应 ， 包 括 终止 网 络 服务 、 记 录 事 件 日 志 、 报 警 
和 阻 断 等 。 响 应 可 分 为 主动 响应 和 被 动 响应 两 种 类 型 。 主 动 响应 由 用 户 驱 动 或 系统 本 身 
自动 执行 ， 可 对 入 侵 行 为 采取 终止 网 络 连接 、 修 正 系统 环境 〈 如 修改 防火 墙 的 安全 策略 ) 
等 ， 被 动 响应 包括 发 出 告警 信息 和 通知 等 。 

目前 比较 流行 的 响应 方式 有 记录 日 志 、 实 时 显示 、E-mail 报警 、 声 音 报警 、SNMP 
报警 、 实 时 TCP 阻 断 、 防 火 墙 联动 、WinPop 显示 、 手 机 短信 报警 等 。 

13.1.4 IDS 的 评价 标准 

一 个 较为 完整 的 入 侵 检测 系统 的 评价 标准 集合 应 该 包括 3 个 方面 的 内 容 : 性 能 测试 、 
功能 测试 和 用 户 可 用 性 测试 。 性 能 测试 主要 衡量 入 侵 检测 系统 在 高 工作 负荷 条 件 下 的 运 


行情 况 。 例 如 ， 数 据 包 截获 和 过 滤 的 速度 ， 是 否 出 现 丢 包 现象 ， 以 及 检测 引擎 的 总 体 知 
吐 量 等 。 功 能 测试 衡量 入 侵 检测 系统 自身 功能 特征 ， 如 系统 的 架构 是 否 支 持 可 扩展 性 、 
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是 否 支 持 规则 定制 功能 、 是 否 能 够 检测 到 集中 所 有 的 攻击 样本 的 测试 样本 、 警 报 系统 的 
功能 是 否 强大 及 是 否 提供 强大 友好 的 报表 功能 等 。 用 户 可 用 性 测试 则 是 衡量 用 户 在 使 用 
某 个 入 侵 检 测 系统 时 的 操作 友好 性 ， 如 界面 设计 是 否 合理 、 使 用 是 否 方便 等 。 综合 来 说 ， 
一 个 好 的 IDS 应 该 具有 以 下 基本 特性 : 

(1) 先进 的 检测 能 力 和 响应 能 

O 不 影响 被 保护 网 络 环境 中 主机 和 各 应 用 系统 的 正常 运行 。 

(3) 在 无 人 监督 管理 的 情况 下 ， 能 够 连续 不 断 地 正常 运行 

(4) 具有 坚固 的 自身 安全 性 。 

(5) 具有 很 好 的 可 管理 性 。 

(6) 消耗 系统 资源 较 少 。 

(7) 可 扩展 性 好 ， 能 适应 网 络 环境 和 应 用 系统 的 变化 。 

(8) 支持 IP 碎片 重组 。 

(9) 支持 TCP 流 重组 。 

(10) 支持 TCP 状态 检测 。 

(11) 支持 应 用 层 协 议 解码 。 

(12) 灵活 、 可 扩展 、 可 配置 的 用 户 报告 功能 。 

(13) 安装 、 配 置 、 调 整 简单 易 行 。 

(14) 能 与 常用 的 其 他 安全 产品 集成 。 

(15) 支持 常用 的 网 络 协议 和 拓扑 结构 等 。 


32 入侵 检测 原理 及 主要 方法 








13.2.1 异常 检测 基本 原理 


异常 检测 技术 又 称 为 基于 行为 的 入 侵 检 测 技 术 , 用 来 识别 主机 或 网 络 中 的 异常 行为 。 
它 假 设 攻击 与 正常 的 (合法 的 ) 活动 有 明显 的 差异 。 异 常 检测 首先 收集 一 段 时 间 操 作 活 
动 的 历史 数据 ， 再 建立 代表 主机 、 用 户 或 网 络 连接 的 正常 行为 描述 ， 然 后 收集 事件 数据 
并 使 用 一 些 不 同 的 方法 来 决定 所 检测 到 的 事件 活动 是 否 偏离 了 正常 行为 模式 ， 从 而 判断 
是 否 发 生 了 入 侵 。 异 常 检测 模型 的 结构 如 图 13-2 所 示 。 

















正常 行为 描述 库 
动态 产生 新 描述 
动态 更 新 描述 

















网 络 数据 规则 匹配 
异常 检测 “| 上 (入 侵 行为 7 
= 
图 13-2 异常 检测 模型 的 结构 


基于 蜡 常 检测 原理 的 入 侵 检测 方法 有 以 下 几 种 : 
(1) 统计 异常 检测 方法 。 
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(2) 特征 选择 异常 检测 方法 。 

(3) 基于 贝 叶 斯 推理 异常 检测 方法 。 

(4) 基于 贝 叶 斯 网 络 异常 检测 方法 。 

(5) 基于 模式 预测 异常 检测 方法 。 

其 中 ， 比 较 成 熟 的 方法 是 统计 异常 检测 方法 和 特征 选择 异常 检测 方法 。 目 前 ， 已 经 
有 根据 这 两 种 方法 开发 而 成 的 软件 产品 面市 ， 其 他 方法 目前 还 停留 在 理论 研究 阶段 。 

13.2.2 ” 误 用 检测 基本 原理 

误 用 检测 技术 又 称 基 于 知识 的 检测 技术 。 它 假定 所 有 入 侵 行为 和 手段 (及 其 变形 ) 
都 能 够 表达 为 一 种 模式 或 特征 ， 并 对 已 知 的 入 侵 行为 和 手段 进行 分 析 ， 提 取 检 测 特征 ， 
构建 攻击 模式 或 攻击 签名 ， 通 过 系统 当前 状态 与 攻击 模式 或 攻击 签名 的 匹配 判断 入 侵 行 
为 。 误 用 检测 模型 的 结构 如 图 13-3 所 示 。 























异常 行为 描述 库 
动态 产生 新 描述 
动态 更 新 描述 
网 络 数据 规则 














误 用 检测 jE KETA 


图 13-3 ” 误 用 检测 模型 的 结构 


误 用 检测 技术 的 优点 在 于 可 以 准确 地 检测 已 知 的 入 侵 行 为 ， 缺 点 是 不 能 检测 未 知 的 
入 侵 行 为 。 误 用 检测 的 关键 在 于 如 何 表达 入 侵 行为 ， 即 攻击 模型 的 构建 ， 把 真正 的 入 侵 
与 正常 行为 区 分 开 来 。 基 于 误 用 检测 原理 的 入 侵 检测 方法 有 以 下 几 种 : 

(1) 基于 条 件 的 概率 误 用 检测 方法 。 

(2) 基于 专家 系统 误 用 检测 方法 。 

(3) 基于 状态 迁移 分 析 误 用 检测 方法 。 

C4) 基于 键盘 监控 误 用 检测 方法 。 

(5) 基于 模型 误 用 检测 方法 。 


13.2.3 ”各 种 入 侵 检 测 技术 


当前 在 网 络 安全 实践 中 存在 多 种 入 侵 检 测 技术 ， 下 面 分 别 对 一 些 常见 的 入 侵 检测 技 
术 进行 简要 介绍 。 


1. 基于 概率 统计 的 检测 

基于 概率 统计 的 检测 技术 是 异常 入 侵 检测 中 最 常用 的 技术 ， 它 对 用 户 历史 行为 建立 
模型 。 根 据 该 模型 ， 当 IDS 发 现 有 可 疑 的 用 户 行为 发 生 时 就 保持 跟踪 ， 并 监视 和 记录 该 
用 户 的 行为 。 这 种 方法 的 优越 性 在 于 它 应 用 了 成 熟 的 概率 统计 理论 ;缺点 是 由 于 用 户 行 
为 非常 复杂 ， 因 而 要 想 准确 地 匹配 一 个 用 户 的 历史 行为 非常 困难 ， 易 造成 系统 误 报 、 错 
报 和 漏 报 。 定 义 入 侵 阔 值 比较 困难 ， 阅 值 高 则 误 检 率 提高 ， 闪 值 低 则 漏 检 率 提高 。 

SRI (Standford Research Institute) 研制 开发 的 IDES 是 一 个 典型 的 实时 监测 系统 。 
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IDES 能 根据 用 户 以 前 的 历史 行为 生成 每 个 用 户 的 历史 行为 记录 库 , 并 能 自 适应 地 学 习 被 
检测 系统 中 每 个 用 户 的 行为 习惯 。 当 某 个 用 户 改变 其 行为 习惯 时 ， 这 种 异常 就 被 检测 出 
来 。 这 种 系统 具有 固有 的 弱点 ， 例 如 ， 用 户 的 行为 非常 复杂 ， 因 而 要 想 准确 地 匹配 一 个 
用 户 的 历史 行为 和 当前 行为 是 非常 困难 的 。 这 种 方法 的 一 些 假设 是 不 准确 或 不 贴切 的 ， 
容易 造成 系统 误 报 、 错 报 或 漏 报 。 

在 这 种 实现 方法 中 ， 检 测 器 首先 根据 用 户 对 象 的 动作 为 每 一 个 用 户 都 建立 一 个 用 户 
特征 表 ， 通 过 比较 当前 特征 和 已 存储 的 以 前 特征 判断 是 否 有 异常 行为 。 用 户 特征 表 需 要 
根据 审计 记录 情况 不 断 更 新 。 在 SRI 的 IDES 中 给 出 了 一 个 特征 简 表 的 结构 ，{ 变 量 名 ， 
行为 描述 ， 例 外 情况 ， 资 源 使 用 ， 时 间 周 期 ， 变 量 类 型 ， 阔 值 ， 主 体 ， 客 体 ， 特 征 值 }， 
其 中 ,变量 名 、 主 体 、 客 体 唯一 确定 了 特征 简 表 ,特征 值 由 系统 根据 审计 数据 周期 产生 。 
这 个 特征 值 是 所 有 有 悖 于 用 户 特征 的 异常 程度 值 的 函数 。 

这 种 方法 的 优越 性 在 于 能 应 用 成 熟 的 概率 统计 理论 ， 不 足 之 处 在 于 

(1) 统计 检测 对 于 事件 发 生 的 次 序 不 敏感 ， 完 全 依靠 统计 理论 ， 可 能 会 漏 掉 那些 利 
用 彼此 相关 联 事件 的 入 侵 行为 。 

(2) 定义 判断 入 侵 的 阐 值 比较 困难 ， 阔 值 太 高 则 误 检 率 提高 ， 阔 值 太 低 则 漏 检 率 
提高 。 

2. 基于 神经 网 络 的 检测 

基于 神经 网 络 的 检测 技术 的 基本 思想 是 用 一 系列 信息 单元 训练 神经 单元 ， 在 给 定 一 
个 输入 后 ， 就 可 能 预测 出 输出 。 它 是 对 基于 概率 统计 的 检测 技术 的 改进 ， 主 要 克服 了 传 
统统 计 分 析 技 术 的 一 些 问题 。 

基于 神经 网 络 的 模块 ， 将 当前 命令 和 刚 过 去 的 不 个 命令 组 成 了 网 络 的 输入 ， 其 中 ， 
WW 是 神经 网 络 预测 下 一 个 命令 时 所 包含 的 过 去 命令 集 的 大 小 。 根 据 用户 代 表 性 命令 序列 
训练 网 络 后 ， 该 网 络 就 形成 了 相应 的 用 户 特征 表 。 网 络 对 下 一 事件 的 预测 错误 率 在 一 定 
程度 上 反映 了 用 户 行为 的 异常 程度 。 这 种 方法 的 优点 在 于 能 够 更 好 地 处 理 原始 数据 的 随 
机 特性 ， 即 不 需要 对 这 些 数据 做 任何 统计 假设 并 有 较 好 的 抗 干扰 能 力 ， 缺点 是 网 络 的 拓 
扑 结构 及 各 元 素 的 权 值 很 难 确定 ,命令 窗口 的 丈 值 也 很 难 选取 。 窗 口 太 大 ， 网 络 效率 降 
低 ; 窗口 太 小 ， 网 络 输出 不 理想 。 

目前 ， 神 经 网 络 技术 提出 了 对 基于 传统 统计 技术 的 攻击 检测 方法 的 改进 方向 ， 但 尚 
不 十 分 成 熟 ， 所 以 传统 的 统计 方法 仍 继续 发 挥 作用 ， 仍 然 能 为 发 现 用 户 的 异常 行为 提供 
相当 有 参考 价值 的 信息 。 


3. 基于 专家 系统 的 检测 

安全 检测 工作 自动 化 的 另外 一 个 值得 重视 的 研究 方向 就 是 基于 专家 系统 的 攻击 检测 
技术 ， 即 根据 安全 专家 对 可 疑 行为 的 分 析 经 验 来 形成 一 套 推理 规则 ， 然 后 再 在 此 基础 上 
建立 相应 的 专家 系统 。 专 家 系统 对 所 涉及 的 攻击 操作 自动 进行 分 析 工 作 。 

所 谓 专家 系统 ， 是 基于 一 套 由 专家 经 验 事先 定义 的 规则 的 推理 系统 。 例 如 ， 某 个 用 
户 在 数 分 钟 之 内 连续 进行 登录 , 且 失 败 超 过 3 次 , 专家 系统 就 可 以 认为 是 一 种 攻击 行为 。 
类 似 的 规则 在 统计 系统 中 似乎 也 有 ， 但 要 注意 的 是 基于 规则 的 专家 系统 或 推理 系统 也 有 
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其 局 限 性 ， 因 为 作为 这 类 系统 的 基础 推理 规则 一 般 都 是 根据 已 知 的 安全 漏洞 进行 安排 和 
策划 的 ， 而 对 系统 的 最 危险 的 威胁 则 主要 来 自 未 知 的 安全 漏洞 。 实 现 基于 规则 的 专家 系 
统 是 一 个 知识 工程 问题 ， 而 且 其 功能 应 当 能 够 随 着 经 验 的 积累 而 利用 其 自学 能 力 进行 规 
则 的 扩充 和 修正 。 当 然 ， 这 样 的 能 力 需 要 在 专家 的 指导 和 参与 下 才能 实现 ， 和 否则 可 能 会 
导致 较 多 的 错误 。 一 方面 ， 推 理 机 制 使 得 系统 面 对 一 些 新 的 行为 现象 时 可 能 具备 一 定 的 
应 对 能 力 〈 即 有 可 能 发 现 一 些 新 的 安全 漏洞 ); 另 一 方面 ， 攻 击 行为 也 可 能 不 会 触发 任何 
一 个 规则 ， 从 而 被 检测 到 。 专 家 系统 对 历史 数据 的 依赖 性 总 的 来 说 比 基 于 统计 技术 的 审 
计 系统 少 ， 因 此 系统 的 适应 性 比较 强 ， 可 以 较 灵 活 地 适应 广泛 的 安全 策略 和 检测 需求 。 
但 迄今 ， 推 理 系统 和 谓词 演算 的 可 计算 问题 还 未 得 到 很 好 的 解决 。 

在 具体 实现 过 程 中 ， 专 家 系统 主要 面临 的 问题 是 : 

(1) 全 面 性 问题 一 一 很 难 从 各 种 入 侵 检测 手段 中 抽象 出 全 面 的 规则 化 知识 。 

(2) 效率 问题 一 一 需要 处 理 的 数据 量 过 大 ， 而 且 在 大 型 系统 上 很 难 获得 实时 、 连 续 
的 审计 数据 。 

4. 基于 模型 推理 的 检测 

攻击 者 在 攻击 一 个 系统 时 往往 采用 一 定 的 行为 程序 ， 如 猜测 口令 的 程序 ， 这 种 行为 
程序 构成 了 某 种 具有 一 定 行为 特征 的 模型 , 根据 这 种 模型 所 代表 的 攻击 意图 的 行为 特征 ， 
可 以 实时 地 检测 出 恶意 的 攻击 企图 。 用 基于 模型 的 推理 方法 ， 人 们 能 够 为 某 些 行为 建立 
特定 的 模型 ， 从 而 能 够 监视 具有 特定 行为 特征 的 某 些 活动 。 根 据 假设 的 攻击 脚本 ， 这 种 
系统 就 能 够 检测 出 非法 的 用 户 行为 。 为 了 准确 判断 ， 一 般 要 为 不 同 的 攻击 者 和 不 同 的 系 
统 建立 特定 的 攻击 脚本 。 

当 有 证 据 表 明 某 种 特定 的 攻击 发 生 时 ， 系 统 应 收集 其 他 证 据 来 证 实 或 否定 攻击 的 真 
实 性 ， 既 不 能 漏 报 攻击 对 信息 系统 造成 实际 损害 ， 又 能 尽 可 能 避免 错 报 。 

当然 ， 上 述 几 种 方法 都 不 能 彻底 解决 攻击 检测 问题 ， 最 好 是 综合 地 利用 各 种 手段 强 
化 计算 机 信息 系统 的 安全 程序 ， 以 增加 攻击 成 功 的 难度 ， 同 时 根据 系统 本 身 的 特点 选择 
适合 的 攻击 检测 手段 。 


5. 基于 免疫 的 检测 

基于 免疫 的 检测 技术 是 将 自然 免疫 系统 的 革 些 特征 运用 到 网 络 系统 中 ， 使 整个 系统 
具有 适应 性 、 自 我 调节 性 、 可 扩展 性 。 人 的 免疫 系统 成 功 地 保护 人 体 不 受 各 种 抗原 和 组 
织 的 侵害 ， 这 个 重要 特性 吸引 了 许多 计算 机 安全 专家 和 人 工 智能 专家 。 通 过 学 习 免疫 专 
家 的 研究 成 果 ， 计 算 机 专家 提出 了 计算 机 免疫 系统 。 在 许多 传统 的 网 络 安全 系统 中 ， 每 
个 目标 都 将 它 的 系统 日 志和 收集 到 的 信息 传送 给 相应 的 服务 器 ， 由 服务 器 分 析 整 个 日 志 
和 信息 ， 判 断 是 否 发 生 恶意 入 侵 。 基 于 免疫 的 入 侵 检测 系统 运用 计算 免疫 的 多 层 性 、 分 
布 性 、 多 样 性 等 特性 设置 动态 代理 ， 实 施 分 层 检测 和 响应 机 制 。 

6. 入 侵 检测 的 新 技术 


数据 挖掘 技术 被 Wenke.lee 用 在 了 入 侵 检测 中 。 用 数据 挖掘 程序 处 理 搜集 到 的 审计 
数据 ， 为 各 种 入 侵 行为 和 正常 操作 建立 精确 的 行为 模式 ， 这 个 过 程 是 一 个 自动 过 程 ， 不 
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需要 人 工分 析 和 编码 入 侵 模 式 。 移 动 代 理 用 于 入 侵 检 测 中 ， 具 有 应 对 主机 间 动 态 迁 移 、 
一 定 的 智能 性 、 与 平台 无 关 性 、 分 布 的 灵活 性 、 低 网 络 数 据 流量 和 多 代理 合作 特性 。 移 
动 代理 技术 适用 于 大 规模 信息 搜集 和 动态 处 理 ， 在 入 侵 检测 系统 中 采用 该 技术 ， 可 以 提 
高 入 侵 检测 系统 的 性 能 。 


7. 其 他 相关 问题 

为 了 防止 过 多 的 不 相干 信息 的 干扰 ,用 于 安全 目的 的 攻击 检测 系统 在 审计 系统 之 外 ， 
还 要 配备 适合 系统 安全 策略 的 信息 采集 器 或 过 滤器 。 同 时 ， 除 了 依靠 来 自 审计 子 系统 的 
信息 ， 还 应 当 充 分 利用 来 自 其 他 信息 源 的 信息 。 在 某 些 系统 内 可 以 在 不 同 层 次 进行 审计 
跟踪 。 例 如 ， 有 些 系 统 的 安全 机 制 采 用 3 级 审计 跟踪 ,包括 审计 操作 系统 核心 调用 行为 、 
审计 用 户 和 操作 系统 界面 级 行为 和 审计 应 用 程序 内 部 行为 。 

另 一 个 重要 问题 是 决定 入 侵 检 测 系统 的 运行 位 置 。 为 了 提高 入 侵 检 测 系统 的 运行 效 
率 ， 可 以 安排 在 与 被 监视 系统 独立 的 计算 机 上 执行 审计 跟踪 分 析 和 攻击 性 检测 。 因 为 监 
视 系统 的 响应 时 间 对 被 监视 系统 的 运行 完全 没有 负面 影响 ， 也 不 会 因为 其 他 安全 有 关 的 
因素 而 受到 影响 ， 这 样 做 既 提高 了 效率 ， 又 保证 了 安全 性 。 

总 之 ， 为 了 有 效 地 利用 审计 系统 提供 的 信息 ， 通 过 攻击 检测 措施 防范 攻击 威胁 ， 计 
算 机 安全 系统 应 当 根据 系统 的 具体 条 件 选择 适用 的 主要 攻击 检测 方法 ， 并 且 有 机 地 融合 
其 他 可 选用 的 攻击 检测 方法 。 同 时 ， 我 们 应 当 清 醒 地 认识 到 ， 任 何 一 种 攻击 检测 措施 都 
不 能 一 劳 永 逸 ， 必 须 配 备 有 效 的 管理 和 组 织 措施 。 

人 们 对 于 安全 技术 的 要 求 将 越 来 越 高 。 这 种 需求 也 刺激 着 攻击 检测 技术 和 其 理论 研 
究 向 前 发 展 ， 同 时 也 必 将 促进 实际 安全 产品 的 进一步 发 展 。 


433 IDS 的 结构 与 分 类 














通过 对 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 进行 分 析 ， 入 侵 检测 系 
统 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 进 行 入 侵 检测 的 
软件 与 硬件 的 组 合 构成 入 侵 检测 系统 。 

入 侵 检测 系统 执行 的 主要 任务 包括 监视 、 分 析 用 户 及 系统 活动 ;审计 系统 构造 和 弱 
点 ; 识别 、 反 映 已 知 进攻 的 活动 模式 ， 向 相关 人 员 报 警 ， 统 计 分析 异 常 行为 模式 ， 评 估 
重要 系统 和 数据 文件 的 完整 性 ， 审 计 、 跟 踪 管 理 操作 系统 ， 识 别 用 户 违反 安全 策略 的 行 
为 。 

入 侵 检 测 一 般 分 为 3 个 步骤 : 信息 收集 、 数 据 分 析 和 响应 (被 动 响应 和 主动 响应 )。 

(1) 信息 收集 

信息 收集 的 内 容 包 括 系统 、 网 络 、 数 据 用 户 活动 的 状态 和 行为 。 入 侵 检测 利用 的 信 
息 一 般 来 自 系统 日 志 、 目 录 及 文件 中 的 异常 改变 、 程 序 执行 中 的 异常 行为 及 物理 形式 的 
入 侵 信 息 4 个 方面 。 

(2) 数据 分 析 

数据 分 析 是 入 侵 检测 的 核心 。 它 首先 构建 分 析 器 ， 把 收集 到 的 信息 经 过 预 处 理 ， 建 
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立 一 个 行为 分 析 引 擎 或 模型 ， 然 后 向 模型 中 植 入 时 间 数 据 ， 在 知识 库 中 保存 植 入 数据 的 
模型 。 数 据 分 析 一 般 通 过 模式 匹配 、 统 计 分 析 和 完整 性 分 析 3 种 方法 进行 。 前 两 种 方法 
用 于 实时 入 侵 检测 ， 而 完整 性 分 析 则 用 于 事后 分 析 。 数 据 分 析 采 用 5 种 统计 模型 : 操作 
模型 方差、 多 元 模型 、 马 尔 可 夫 过 程 模型 和 时 间 序 列 分 析 。 统 计 分 析 的 最 大 优点 是 可 
以 学 习 用 户 的 使 用 习惯 。 

(3) 响应 

入 侵 检测 系统 在 发 现 入 侵 后 会 及 时 做 出 响应 ， 包 括 切 断 网 络 连接 、 记 录 时 间 和 报警 
等 。 响 应 一 般 分 为 主动 响应 (阻止 攻击 或 影响 ， 从 而 改变 攻击 的 过 程 》 和 被 动 响应 ( 报 
告 和 记录 所 检测 出 的 问题 两 种 类 型 。 主 动 响 应 由 用 户 驱 动 或 系统 本 身 自动 执行 ， 可 对 
入 侵 者 采取 行动 (如 断 开 连 接 )、 修正 系统 环境 或 收集 有 用 信息 ; 被 动 响应 则 包括 告警 和 
通知 、 简 单 网 络 管理 协议 (SNMP) 陷阱 和 插件 等 。 另 外 ， 还 可 以 按 策 略 配置 响应 ， 分 
别 采 取 立 即 、 紧 急 、 适 时 、 本 地 的 长 期 和 全 局 的 长 期 等 行动 。 


13.3.1 IDS 的 结构 


通用 入 侵 检测 架构 (“Common Intrusion Detection Framework, CIDF) 阐述 了 入 侵 检 
测 系统 的 通用 模型 。 它 将 一 个 入 侵 检测 系统 分 为 以 下 组 件 : 

(1) 事件 产生 器 (Event Generators )。 

(2) 事件 分 析 器 (Event Analyzers)。 

(3) 响应 单元 (Response Units). 

(4) 事件 数据 库 (Event Databases). 

CIDF 将 入 侵 检 测 系统 需要 分 析 的 数据 统称 为 事件 (Event), 它 可 以 是 基于 网 络 的 入 
侵 检测 系统 中 的 网 络 数据 包 ， 也 可 以 是 基于 主机 的 入 侵 检 测 系统 从 系统 日 志 等 其 他 途径 
得 到 的 信息 。 它 也 对 各 部 件 之 间 的 信息 传递 格式 、 通 信 方 法 和 标准 API 进行 了 标准 化 。 

事件 产生 器 从 整个 计算 环境 中 获得 事件 ， 并 提供 给 系统 的 其 他 部 分 。 事 件 分 析 器 对 
得 到 的 数据 进行 分 析 ,， 并 产生 分 析 结 果 。 响 应 单元 则 是 对 分 析 结 果 做 出 反应 的 功能 单元 ， 
它 可 以 做 出 切断 连接 、 改 变 文件 属性 等 强烈 反应 ， 甚 至 发 动 对 攻击 者 的 反击 ， 或 者 报警 。 
事件 数据 库 是 存放 各 种 中 间 数 据 和 最 终 数据 的 地 方 的 统称 ， 它 可 以 是 复杂 的 数据 库 ， 也 
可 以 是 简单 的 文本 文件 。 

一 个 入 侵 检 测 系统 的 功能 结构 如 图 13-4 所 示 ， 它 至 少 包含 事件 提取 、 入 侵 分 析 、 入 
侵 响 应 和 远程 管理 4 部 分 功能 。 





在 图 13-4 中 ， 各 部 分 功能 如 下 : 
























































入 侵 响应 H 远程 管理 C1) 事件 提取 功能 负责 提取 与 被 保护 系统 相关 的 
二 运行 数据 或 记录 ， 并 负责 对 数据 进行 简单 的 过 滤 。 
rk (2) 入 侵 分 析 的 任务 就 是 在 提取 到 的 运行 数据 中 找 
ER 出 入 侵 的 痕迹 , 区 分 授权 的 正常 访问 行为 和 非 授权 的 不 
正常 访问 行为 ， 分 析 入 侵 行为 并 对 入 侵 者 进行 定位 。 
数据 源 (3) 入 侵 响 应 功能 在 分 析出 入 侵 行为 后 被 触发 ， 
图 13-4 入 侵 检 测 系 统 的 功能 构成 ”根据 入 侵 行为 产生 响应 。 
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(4) 由 于 单个 入 侵 检 测 系统 的 检测 能 力 和 检测 范围 有 限 ， 入 侵 检 测 系统 一 般 采 用 分 
布 监视 、 集 中 管理 的 结构 ， 多 个 检测 单元 运行 于 网 络 中 的 各 个 网 段 或 系统 上 ， 通 过 远程 
管理 功能 在 一 台 管 理 站 上 实现 统一 的 管理 和 监控 。 


13.3.2 IDS 的 分 类 


1. 按照 数据 来 源 分 类 

根据 数据 来 源 的 不 同 ，IDS 可 以 分 为 以 下 3 种 基本 结构 。 

(1) 基于 网 络 的 入 侵 检测 系统 (Network Intrusion Detection System，NIDS )。 数 据 来 
源 于 网 络 上 的 数据 流 。 

NIDS 能 够 截获 网 络 中 的 数据 包 ， 提 取 其 特征 并 与 知识 库 中 已 知 的 攻击 签名 相 比 较 ， 
从 而 达到 检测 目的 。 其 优点 是 侦 测速 度 快 、 隐 蔽 性 好 、 不 易 受 到 攻击 、 对 主机 资源 消耗 
少 ; 缺点 是 有 些 攻击 是 由 服务 器 的 键盘 发 出 的 ， 不 经 过 网 络 ， 因 而 无 法 识别 ， 误 报 率 
较 高 。 

(2) 基于 主机 的 入 侵 检 测 系统 (Host Intrusion Detection System，HIDS)。 数 据 来 源 
于 主机 系统 ， 通 常 是 系统 日 志和 审计 记录 。 

HIDS 通过 对 系统 日 志和 审计 记录 的 不 断 监控 和 分 析 来 发 现 攻 击 后 的 误 操作 。 优 点 
是 针对 不 同 操作 系统 捕获 应 用 层 入 侵 ， 误 报 少 ;缺点 是 依赖 于 主机 及 其 子 系统 ， 实 时 

HIDS 通常 安装 在 被 保护 的 主机 上 ， 主 要 对 该 主机 的 网 络 实 时 连接 及 系统 审计 日 志 
进行 分 析 和 检查 ， 在 发 现 可 疑 行 为 和 安全 违规 事件 时 ， 向 管理 员 报警 ， 以 便 采 取 措 施 。 

(3) 采用 上 述 两 种 数据 来 源 的 分 布 式 入 侵 检测 系统 (Distributed Intrusion Detection 
System, DIDS). 

这 种 系统 能 够 同时 分 析 来 自主 机 系统 审计 日 志和 网 络 数据 流 ， 一 般 为 分 布 式 结构 ， 
多 个 部 件 组 成 。DIDS 可 以 从 多 个 主机 获取 数据 ， 也 可 以 从 网 络 传输 取得 数据 ， 克 服 
了 单一 的 HIDS、NIDS 的 不 足 。 

典型 的 DIDS 采用 控制 台 / 探 测 器 结构 .NIDS 和 HIDS 作为 探测 器 放置 在 网 络 的 关键 
节点 ， 并 向 中 央 控 制 台 汇报 情况 。 攻 击 日 志 定时 传送 到 控制 台 ， 并 保存 到 中 央 数 据 库 中 ， 
新 的 攻击 特征 能 及 时 发 送 到 各 个 探测 器 上 。 每 个 探测 器 能 够 根据 所 在 网 络 的 实际 需要 配 
置 不 同 的 规则 集 。 


2. 按照 入 侵 检测 策略 分 类 

根据 入 侵 检测 的 策略 ，IDS 也 可 以 分 成 3 种 类 型 : 滥用 检测 、 异 常 检测 、 完 整 性 
分 析 。 

(1) 滥用 检测 

滥用 检测 (Misuse Detection) 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模 
式 数据 库 进 行 比较 ， 从 而 发 现 违背 安全 策略 的 问题 。 该 方法 的 优点 是 只 需 收 集 相关 的 数 
据 集合 ， 可 显著 减少 系统 负担 ， 且 技术 已 相当 成 熟 。 该 方法 存在 的 弱点 是 需要 不 断 地 升 
级 以 对 付 不 断 出 现 的 黑客 攻击 手段 ， 不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 
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(2) 异常 检测 

异常 检测 (Abnormal Detection) 首先 给 系统 对 象 〈 如 用 户 、 文 件 、 目 录 和 设备 等 ) 
创建 一 个 统计 描述 、 统 计 正常 使 用 时 的 一 些 测 量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 
时 等 )。 测量 属性 的 平均 值 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ， 如 果 观 察 值 在 正常 范 
围 之 外 ， 就 认为 有 入 侵 发 生 。 其 优点 是 可 检测 到 未 知 的 入 侵 和 更 加 复杂 的 入 侵 。 缺 点 是 
误 报 、 漏 报 率 高 ， 且 不 适应 用 户 正常 行为 的 突然 改变 。 

(3) 完整 性 分 析 

完整 性 分 析 (Integrality Analysis) 主要 关注 某 个 文件 或 对 象 是 否 被 更 改 ， 这 通常 包 
括 文件 和 目录 的 内 容 及 属性 ， 它 在 发 现 更 改 或 特洛伊 木马 应 用 程序 方面 特别 有 效 。 其 优 
点 是 只 要 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 ， 它 都 能 发 现 ; 缺点 是 一 般 以 批 
处 理 方式 实现 ， 不 易于 实时 响应 。 

在 下 面 的 讨论 中 ， 将 按照 第 一 种 分 类 方法 分 别 讨 论 NIDS、HIDS 和 DIDS。 


134 _NIDS 








随 着 计算 机 网 络 技术 的 发 展 ， 单 独 依靠 主机 审计 入 侵 检测 难以 适应 网 络 安全 需要 。 
在 这 种 情况 下 ， 人 们 提出 了 基于 网 络 的 入 侵 检 测 系统 体系 结构 ， 这 种 检测 系统 根据 网 络 
流量 、 网 络 数据 包 和 协议 来 分 析 入 侵 检测 。 

基于 网 络 的 入 侵 检 测 系 统 使 用 原始 网 络 包 作为 数据 包 。 基 于 网 络 的 IDS 通常 利用 一 
个 运行 在 随机 模式 下 的 网 络 适配器 来 实现 监视 并 分 析 通 过 网 络 的 所 有 通信 业务 。 它 的 攻 
击 辨别 模块 通常 采用 4 种 常用 技术 来 识别 攻击 技术 : 

C1) 模式 、 表 达 式 或 字 节 匹 配 。 

(2) 频率 或 穿越 闵 值 。 

(3) 低级 事件 的 相关 性 。 

(4) 统计 学 意义 上 的 非常 规 现象 检测 。 

一 旦 检测 到 攻击 行为 ，IDS 的 响应 模块 将 提供 多 种 选项 ， 以 通知 、 报 警 并 对 攻击 采 
取 相 应 的 反应 。 

基于 网 络 的 入 侵 检 测 系统 主要 有 以 下 优点 : 

(1) 拥有 成 本 低 。 基 于 网 络 的 IDS 可 以 部 署 在 一 个 或 多 个 关键 访问 点 来 检测 所 有 经 
过 的 网 络 通信 。 因 此 ， 基 于 网 络 的 IDS 系统 并 不 需要 安装 在 各 种 各 样 的 主机 上 ， 从 而 大 
大 减 小 了 管理 的 复杂 性 。 

(2) 攻击 者 转移 证 据 困 难 。 基于 网 络 的 IDS 使 用 活动 的 网 络 通信 进行 实时 攻击 检测 ， 
因此 攻击 者 无 法 转移 证 据 ， 被 检测 系统 捕获 的 数据 不 仅 包括 攻击 方法 ， 而 且 包括 对 识别 
和 指控 入 侵 者 十 分 有 用 的 信息 。 

G) 实时 检测 和 响应 。 一 旦 发 生 恶意 访问 或 攻击 ， 基 于 网 络 的 IDS 检测 即 可 随时 发 
现 ， 并 能 够 很 快 地 做 出 反应 。 如 果 黑 客 使 用 TCP 启动 基于 网 络 的 拒绝 服务 (DoS), IDS 
可 以 通过 发 送 一 个 TCP reset 来 立即 终止 这 个 攻击 , 这 样 就 可 以 避免 目标 主机 遭受 破坏 或 
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崩溃 。 这 种 实时 性 使 系统 可 以 根据 预先 定义 的 参数 迅速 采取 相应 的 行动 ， 从 而 将 入 侵 活 
动 对 系统 的 破坏 降 到 最 低 。 
(4) 能 够 检测 未 成 功 的 攻击 企图 。 一 个 置 于 防火 墙 外 部 的 NIDS 可 以 检测 到 旨 在 利 
用 防火 墙 后 的 资源 的 攻击 ， 尽 管 防火 墙 本 身 可 能 会 拒绝 这 些 攻击 企图 。 基 于 主机 的 系统 
不 能 发 现 未 能 到 达 受 防火 墙 保护 的 主机 的 攻击 企图 ， 而 这 些 信息 对 于 评估 和 改进 安全 策 
略 是 十 分 重要 的 。 

(5) 操作 系统 独立 。 基 于 网 络 的 IDS 并 不 依赖 于 将 主机 的 操作 系统 作为 检测 资源 ， 
而 基于 主机 的 系统 需要 特定 的 操作 系统 才能 发 挥 作 用 。 

基于 网 络 的 入 侵 检 测 系统 (NIDS) 一 般 安 装 在 需要 保护 的 网 段 中 ， 实 时 监视 网 段 中 
传输 的 各 种 数据 包 ， 并 对 这 些 数据 包 进行 分 析 和 检测 。 如 果 发 现 入侵 行 为 或 可 疑 事件 ， 
入 侵 检测 系统 就 会 发 出 警报 甚至 切断 网 络 连接 。 基 于 网 络 的 入 侵 检测 系统 如 同 网 络 中 的 
摄像 机 ， 只 要 在 一 个 网 络 中 安放 一 台 或 多 台 入 侵 检测 探测 器 ， 就 可 以 监视 整个 网 络 的 运 
行情 况 ， 在 黑客 攻击 造成 破坏 之 前 ， 预 先 发 出 警报 ， 并 通过 TCP 阻 断 或 防火 墙 联动 等 方 
式 ， 以 最 快 的 速度 阻止 入 侵 事 件 的 发 生 。 基 于 网 络 的 入 侵 检 测 系统 自 成 体系 ， 它 的 运行 
不 会 给 原 系 统 和 网 络 增 加 负担 。 


13.4.1 NIDS 设计 

基于 网 络 的 入 侵 检测 产品 放置 在 比较 重要 的 网 段 内 ， 可 连续 监视 网 段 中 的 各 种 数据 
包 ， 对 每 个 数据 包 或 可 疑 的 数据 包 进行 特征 分 析 。 如 果 数 据 包 与 产品 内 置 的 某 些 规则 吻 
合 ， 入 侵 检测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连接 。 目 前 ， 大 部 分 入 侵 检 测 产 品 都 
基于 网 络 。NIDS 整体 框架 流程 图 如 图 13-5 所 示 。 















































































































































nae mee 控制 事件 分 析 
[ace |) { | = A 
L 内 容 分 析 模块 Ir mae 
| 
[ oam EAH aan | 
| | 
| seeme o o | ae 
| 网 卡 | 网 卡 mr | g 

介 tt 网 络 g 














图 13-5 NIDS 整体 框架 流程 图 


在 网 络 入 侵 检测 系统 中 ， 有 多 个 久负盛名 的 开放 源码 软件 ， 它 们 是 Snort, NFR, 
Shadow. Bro, Firestorm 等 ， 其 中 ，Snort 的 社区 (http:/www.snort.org) 非常 活跃 ， 其 
入 侵 特 征 更 新 速度 与 研发 的 进展 已 超过 了 大 部 分 商品 化 产品 。 可 以 通过 分 析 Snort 代码 
和 结构 来 学 习 NIDS 的 设计 。 
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13.4.2 NIDS 关键 技术 


1. IP 碎片 重组 技术 

为 了 躲避 入 侵 检测 系统 ,攻击 者 往往 会 使 用 Fragroute 碎片 数据 包 转 发 工具 , 将 攻击 
请 求 分 成 若干 个 P 碎片 包 发 送 到 目标 主机 ; 目标 主机 接收 到 碎片 包 以 后 ， 则 进行 碎片 重 
组 还 原 出 真正 的 请 求 。 碎 片 攻 击 包括 碎片 覆盖 、 碎 片 重 写 、 碎 片 超 时 和 针对 网 络 拓扑 的 
碎片 技术 〈 如 使 用 小 的 TTL) 等 。IDS 需要 在 内 存 中 缓存 所 有 的 碎片 ， 模 拟 目标 主机 对 
网 络 上 传输 的 碎片 包 进行 重组 ， 还 原 出 真正 的 请 求 内 容 ， 然 后 再 进行 入 侵 检 测 分 析 。 


2. TCP 流 重组 技术 

对 于 入 侵 检测 系统 ,最 艰巨 的 任务 是 重组 通过 TCP 连接 交换 的 数据 。TCP 提供 了 足 
够 多 的 信息 帮助 目标 系统 判断 数据 的 有 效 性 和 数据 在 连接 中 的 位 置 。TCP 的 重 传 机 制 可 
以 确保 数据 准确 到 达 ， 如 果 在 一 定 的 时 间 之 内 没有 收 到 接收 方 的 响应 信息 ， 发 送 方 会 自 
动 重 传 数据 。 但 是 ， 由 于 监视 TCP 会 话 的 入 侵 检测 系统 是 被 动 的 监视 系统 ， 因 此 无 法 使 
H TCP 重 传 机 制 。 如 果 在 数据 传输 过 程 中 发 生 顺 序 被 打 乱 或 报 文 丢失 的 情况 ,将 加 大 其 
检测 难度 。 更 严重 的 是 ， 重 组 TCP 数据 流 需要 进行 序列 号 跟踪 ， 但 是 如 果 在 传输 过 程 中 
丢失 了 很 多 报 文 ， 就 可 能 使 入 侵 检 测 系统 无 法 进行 序列 号 跟踪 。 如 果 没 有 恢复 机 制 ， 就 
可 能 使 入 侵 检 测 系统 不 能 同步 监视 TCP 连接 。 不 过 ， 即 使 入 侵 检 测 系统 能 够 恢复 序列 号 
跟踪 ， 也 同样 能 够 被 攻击 。 

3. TCP 状态 检测 技术 

目前 ， 攻 击 NIDS 最 有 效 的 办 法 是 利用 Coretez Giovanni 写 的 Stick 程序 。Stick 使 用 
了 很 巧妙 的 办 法 ,可 以 在 2s 内 模拟 450 次 没有 经 过 3 步 握手 的 攻击 ， 快 速 告警 信息 的 产 
生 会 让 IDS 难以 做 出 反应 ， 产 生 无 反应 甚至 死机 现象 。 由 于 未 采用 TCP 状态 检测 技术 ， 
所 以 当 Stick 发 出 多 个 有 攻击 特征 〈 按 照 Snort 的 规则 组 包 ) 的 数据 包 时 ，IDS 匹配 了 这 
些 数据 包 的 信息 ， 就 会 频繁 发 出 警告 ， 造 成 管理 者 无 法 分 辩 哪 些 警告 是 针对 真正 的 攻击 
发 出 的 ， 从 而 使 IDS 失去 作用 。 通 过 对 TCP 状态 的 检测 ， 能 够 完全 避免 因 单 包 匹 配 造 成 
的 误 报 。 

4. 协议 分 析 技 术 

协议 分 析 是 在 传统 模式 匹配 技术 基础 之 上 发 展 起 来 的 一 种 新 的 入 侵 检测 技术 。 协 议 
分 析 的 原理 就 是 根据 现 有 协议 模式 ， 到 固定 位 置 取 值 ， 而 不 是 逐个 进行 比较 ， 然 后 根据 
取得 的 值 来 判断 其 协议 及 实施 下 一 步 分 析 动 作 。 它 充分 利用 了 网 络 协议 的 高 度 有 序 性 ， 
并 结合 了 高 速 数据 包 捕捉 、 协 议 分 析 和 命令 解析 ， 来 快速 检测 是 否 存在 某 个 攻击 特征 ， 
这 种 技术 正 逐 渐进 入 成 熟 应 用 阶段 。 协 议 分 析 大 大 减 小 了 计算 量 ， 即 使 在 高 负载 的 高 速 
网 络 上 ， 也 能 逐个 分 析 所 有 的 数据 包 。 

采用 协议 分 析 技 术 的 IDS 能 够 理解 不 同 协议 的 原理 ， 由 此 分 析 这 些 协议 的 流量 ， 寻 
找 可 疑 的 或 不 正常 的 行为 。 对 每 一 种 协议 的 分 析 不 仅 基于 协议 标准 ， 还 基于 协议 的 具体 
实现 ， 因 为 很 多 协议 的 实现 偏离 了 协议 标准 。 协 议 分 析 技 术 观 察 并 验证 所 有 的 流量 ， 当 
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流量 不 是 期 望 值 时 ，IDS 就 发 出 告警 。 协 议 分 析 具 有 寻找 任何 偏离 标准 或 期 望 值 的 行为 
的 能 力 ， 因 此 能 够 检测 到 已 知 和 未 知 攻击 。 

状态 协议 分 析 就 是 在 常规 协议 分 析 技 术 的 基础 上 加 入 状态 特性 分 析 ， 即 不 仅 检测 单 
一 的 连接 请 求 或 响应 ， 而 是 将 一 个 会 话 的 所 有 流量 作为 一 个 整体 来 考虑 。 仅 靠 检测 单一 
的 连接 请 求 或 响应 ， 有 些 网 络 攻击 行为 是 检测 不 到 的 , 因为 攻击 行为 包含 在 多 个 请 求 中 ， 
此 时 状态 协议 分 析 技 术 就 显得 十 分 必要 。 与 模式 匹配 技术 相 比 ， 协 议 分 析 和 状态 协议 分 
析 技 术 具 有 如 下 的 优点 。 

(1) 性 能 提高 。 与 模式 匹配 系统 中 传统 的 穷 举 分 析 方法 相 比 ， 协 议 分 析 利 用 已 知 结 
构 的 通信 协议 在 处 理 数据 帧 和 连接 时 更 迅速 、 有 效 。 

(2) 准确 性 提高 。 与 非 智能 化 的 模式 匹配 相 比 ， 协 议 分 析 减 少 了 误 警 和 漏 警 。 将 命 
令 解析 和 协议 解码 技术 相 结合 ， 在 命令 字符 串 到 达 操 作 系统 或 应 用 程序 之 前 ， 模 拟 命令 
字符 串 的 执行 ， 以 确定 它 是 否 具有 恶意 。 

(3) 基于 状态 的 分 析 。 协 议 分 析 入 侵 检测 系统 引擎 在 评估 某 个 数据 包 时 ， 不 仅 要 检 
查 之 前 的 相关 数据 包 ， 而 且 还 要 检查 之 后 可 能 出 现 的 数据 包 。 与 此 相反 ， 模 式 匹配 入 侵 
检测 系统 只 孤立 地 检查 当前 的 数据 包 。 

(4) 反 规避 能 力 大 大 增强 。 因 为 协议 分 析 具 有 判别 通信 行为 真实 意图 的 能 力 ， 因 此 
能 够 有 效 抵御 利用 路 径 模糊 、 十 六 进 制 编码 和 Unicode 编码 等 进行 隐藏 攻击 的 行为 。 

(5) 系统 资源 开销 小 。 协 议 分 析 的 高 效 性 降低 了 系统 资源 在 网 络 和 主机 探测 中 的 消 
耗 ， 而 模式 匹配 技术 却 能 大 量 消耗 系统 资源 。 

5. 零 复制 技术 

零 复制 的 基本 思想 是 在 数据 包 从 网 络 设备 到 用 户 程 序 空 间 传递 的 过 程 中 ， 减 少数 据 
复制 次 数 ， 减 少 系统 调用 ， 实 现 CPU 的 零 参 与 ， 彻 底 消除 CPU 在 这 方面 的 负载 。 实 现 
零 复 制 用 到 的 主要 技术 是 DMA 数据 传输 技术 和 内 存 区 域 映射 技术 。 传 统 的 网 络 数据 报 
处 理 需 要 经 过 网 络 设备 到 操作 系统 内 存 空间 、 系 统 内 存 空 间 到 用 户 应 用 程序 空间 这 两 次 
复制 ， 同 时 还 需要 经 历 用 户 向 系统 发 出 的 系统 调用 。 而 零 复 制 技术 则 首先 利用 DMA 技 
术 将 网 络 数据 报 直接 传递 到 系统 内 核 预先 分 配 的 地 址 空间 中 ， 避 免 CPU 的 参与 ， 同 时 ， 
将 系统 内 核 中 存储 数据 报 的 内 存 区 域 映射 到 检测 程序 的 应 用 程序 空间 (还 有 一 种 方式 是 
在 用 户 空间 建立 一 缓存 ， 并 将 其 映射 到 内 核 空间 ， 类 似 于 Linux 系统 下 的 Kiobuf 技术 )， 
检测 程序 直接 对 这 块 内 存 进行 访问 ， 从 而 减少 系统 内 核 向 用 户 空间 的 内 存 复制 ， 同 时 减 
少 系统 调用 的 开销 ， 实 现 “ 零 复制 ”。 

零 复制 数据 流程 如 图 13-6 所 示 ， 图 中 左 侧 是 传统 的 处 理 网 络 数据 包 的 方式 。 由 于 网 
卡 驱动 程序 运行 在 内 核 空 间 ， 当 网 卡 收 到 数据 包 后 ， 数 据 包 会 存放 在 内 核 空间 内 。 由 于 
上 层 应 用 运行 在 用 户 空 间 ， 无 法 直接 访问 内 核 空间 ， 因 此 要 通过 系统 调用 将 网 卡 中 的 数 
据 包 复制 到 上 层 应 用 系统 中 ， 从 而 占用 系统 资源 ,造成 IDS 性 能 下 降 。 图 13-6 右 侧 是 改 
进 后 的 网 络 数据 包 处 理 方式 。 通 过 重 写 网 卡 驱动 ， 使 网 卡 驱动 与 上 层 系统 共享 一 块 内 存 
区 域 ， 网 卡 从 网 络 上 捕获 到 的 数据 包 直 接 传递 给 入 侵 检测 系统 。 上 述 过 程 避 免 了 数据 的 
内 存 复制 ， 不 需要 占用 CPU 资源 ， 最 大 程度 地 将 有 限 的 CPU 资源 让 给 协议 分 析 和 模式 






































379 


me 网络 安 全 一 一 技术 与 实践 (第 3 版 ) mmm 





匹配 等 进程 ， 提 高 了 整体 性 能 。Luca Deri 提出 一 种 改进 数据 包 捕获 效率 的 新 方法 ， 详 细 
内 容 见 相关 参考 文献 。 但 是 零 复 制 只 能 解决 “ 抓 包 ” 的 瓶颈 问题 ， 实 现 高 性 能 的 IDS 仍 
要 依靠 协议 分 析 和 匹配 检测 等 其 他 功能 模块 性 能 的 进一步 加 强 。 




















传统 的 方法 数据 改进 后 的 方法 
a 
内 核 空间 x 
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图 13-6 零 复 制 数据 流程 图 























6. Bieta 

从 传统 意义 上 讲 ， 信 息 安全 意味 着 单纯 的 防御 。 防 火 墙 、 入 侵 检测 系统 、 加 密 等 安 
全 机 制 只 是 用 来 防御 ， 以 保护 用 户 的 资源 免 受 黑客 的 损害 。 从 战术 上 来 讲 ， 应 尽 可 能 好 
地 保护 网 络 ， 减 少 安全 漏洞 ， 并 对 出 现 的 安全 性 泄漏 及 时 响应 。 这 种 技术 的 问题 在 于 它 
的 单纯 防御 特性 ， 主 动 权 掌握 在 攻击 者 的 手中 。 而 蜜 饶 技术 的 出 现 将 改变 这 一 切 。 现 代 
的 IDS 采用 了 蜜 炙 (Honeypot) 技术 的 新 思想 。 蜜 饶 是 一 个 吸引 潜在 攻击 者 的 陷阱 ， 它 
的 作用 是 : 

e 把 潜在 入 侵 者 的 注意 力 从 关键 系统 移 开 。 

o 收集 入 侵 者 的 动作 信息 。 

o 设法 让 攻击 者 停留 一 段 时 间 ， 使 管理 员 能 检测 到 它 并 采取 相应 的 措施 。 

蜜 钠 技 术 的 主要 目的 是 收集 和 分 析 现 有 威胁 的 信息 。 将 这 种 技术 集成 到 IDS P, R 
们 就 可 以 发 现 新 的 黑客 工具 、 确 定 攻击 的 模式 、 研 究 攻击 者 的 动机 。 

(1) BRAM 

蜜 缸 可 被 视 为 情报 收集 系统 。 蜜 缸 是 故意 引诱 攻击 的 目标 ， 引 诱 黑客 前 来 攻击 。 当 
攻击 者 入 侵 后 ， 就 可 以 知道 攻击 者 是 如 何 得 件 的 ， 并 随时 了 解 攻击 者 针对 公司 服务 器 发 
动 的 最 新 攻击 及 系统 的 漏洞 ， 还 可 以 通过 窃听 黑客 之 间 的 联系 ， 收 集 黑客 所 用 的 各 种 工 
具 并 掌握 黑客 之 间 的 社交 网 络 。 

设置 密 色 并 不 难 ， 只 要 在 外 部 Internet 上 的 一 台 计算 机 上 运行 有 明显 安全 漏洞 的 操 
作 系 统 即 可 ， 如 运行 一 台 没 有 打 补 丁 的 微软 Windows 或 Red Hat Linux 服务 器 。 因 为 黑 
客 可 能 会 设 陷阱 ， 以 获取 计算 机 的 日 志和 审查 功能 ， 所 以 要 在 计算 机 和 Internet 连接 之 
间 安 置 一 套 网 络 监控 系统 ， 以 便 悄悄 记录 进出 计算 机 的 所 有 流量 。 然 后 ， 只 需 坐 下 来 ， 
等 待 攻 击 者 自 投 罗 网 。 

然而 ， 设 置 蜜 缸 并 不 是 没有 风险 。 这 是 因为 ， 大 部 分 安全 受到 威胁 的 系统 会 被 黑客 
用 来 攻击 其 他 系统 。 这 就 是 下 游 责任 (Downstream Liability), 由 此 引出 了 蜜 网 (Honeynet) 
这 一 话题 。 

蜜 网 是 指 另 外 采用 了 各 种 入 侵 检测 和 安全 审计 技术 的 蜜 缸 ， 它 可 以 用 合理 方式 记录 
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下 黑客 的 行动 ， 同 时 尽量 减 小 或 排除 对 Internet 上 其 他 系统 造成 的 风险 。 设 置 在 反 向 防 
火 墙 后 的 蜜 钠 就 是 一 个 例子 。 防 火 墙 的 目的 不 是 防止 入 站 连接 ， 而 是 防止 蜜 把 建立 出 站 
连接 。 不 过 ， 虽 然 这 种 方法 可 以 使 密 缸 不 会 破坏 其 他 系统 ， 但 很 容易 被 黑客 发 现 。 

数据 收集 是 设置 密 钠 的 男 一 项 技术 挑战 。 蜜 镀 监 控 者 只 要 记录 下 进出 系统 的 每 个 数 
据 包 ， 就 能 够 对 黑客 的 所 作 所 为 一 清二 楚 。 蜜 钠 本 身 的 日 志文 件 也 是 很 好 的 数据 来 源 。 
但 日 志文 件 很 容易 被 攻击 者 删除 。 所 以 通常 的 办 法 就 是 让 蜜 钠 向 同一 网 络 上 防御 机 制 较 
完善 的 远程 日 志 服 务 器 发 送 日 志 备份 。 

(2) BRA 

BEG ARE HE ZEA ARS TPT BESS IT TCG XF A BG HF IB 
As, BOAR AA EE TEE BABE Bae. AE, 
浏览 数据 、 查 明 攻 击 者 的 实际 行为 也 相对 容易 了 。 

Á 1999 年 启动 以 来 , 蜜 网 计划 已 经 收集 了 大 量 信息 , 详情 可 访问 www.honeynet.org。 
信息 表明 : 攻击 率 在 过 去 一 年 增加 了 一 倍 ; 攻击 者 越 来 越 多 地 使 用 能 够 堵 住 漏洞 的 自动 
点 击 工 具 (如果 发 现 新 漏洞 ， 工 具 很 容易 更 新 ); 尽管 声势 很 大 ,但 很 少 有 黑客 采用 新 的 
攻击 手法 。 

蜜 钠 不 仅 是 一 种 研究 工具 ， 同 样 有 着 真正 的 商业 应 用 价值 。 将 蜜 镀 设 置 在 与 公司 网 
站 或 邮件 服务 器 相 邻 的 IP 地 址 上 ， 就 可 以 了 解 公司 网 络 所 遭 到 的 攻击 了 。 

蜜 饶 领域 最 让 人 兴奋 的 发 展 成 果 之 一 就 是 出 现 了 虚拟 蜜 网 。 虚 拟 计 算 机 网 络 运 行 在 
使 用 VMware 或 User-Mode Linux 等 虚拟 计算 机 系统 的 单一 机 器 之 上 。 虚 拟 系统 可 以 在 
单一 主机 系统 上 运行 几 台 虚拟 计算 机 (通常 是 4 一 10 台 )。 虚拟 蜜 网 大 大 降低 了 蜜 钠 的 成 
本 及 管理 的 难度 ， 节 省 了 机 器 占用 的 空间 。 此 外 ， 虚 拟 系统 通常 支持 “悬挂 ”和 “恢复 ” 
功能 ， 这 样 就 可 以 冻结 受到 安全 威胁 的 计算 机 ， 分 析 攻 击 方法 。 


135 HIDS 














HIDS 出 现在 20 世纪 80 年 代 初 期 ， 那 时 网 络 还 没有 今天 这 样 普遍 、 复 杂 ， 且 网 络 
之 间 也 没有 完全 连通 。 其 检测 的 目标 主要 是 主机 系统 和 本 地 用 户 。 检 测 原理 是 根据 主机 
的 审计 数据 和 系统 日 志 发 现 可 疑 事 件 ， 检 测 系统 可 以 运行 在 被 检测 的 主机 或 单独 的 主 
机 上 。 

在 这 一 较为 简单 的 环境 中 ， 最 常见 的 操作 是 检查 可 疑 行为 的 检测 记录 。 由 于 入 侵 行 
为 在 当时 很 少见 ， 对 攻击 进行 事后 分 析 就 可 以 防止 日 后 的 攻击 。 

当前 的 HIDS 仍 使 用 验证 记录 ， 但 自动 化 程度 大 大 提高 ， 并 发 展 了 精密 的 可 迅速 做 
出 响应 的 检测 技术 。 通 常 ， 基 于 主机 的 IDS 可 监测 系统 、 事 件 和 Windows NT 下 的 安全 
记录 及 UNIX 环境 下 的 系统 记录 。 当 有 文件 发 生变 化 时 ，IDS 将 新 的 记录 条 目 与 攻击 标 
记 相 比较 ， 看 二 者 是 否 匹 配 ， 如 果 匹 配 ， 系 统 就 会 向 管理 员 报警 并 向 其 他 的 目标 报告 ， 
以 采取 措施 。 

基于 主机 的 入 侵 检测 系统 有 以 下 特点 : 
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1. 监视 特定 的 系统 活动 

HIDS 监视 用 户 和 访问 文件 的 活动 ， 包 括 文件 访问 、 改 变 文件 权限 、 试 图 建立 新 的 
可 执行 文件 或 试图 访问 特殊 的 设备 。 例 如 ， 基 于 主机 的 IDS 可 以 监督 所 有 用 户 的 登录 及 
下 网 情况 ， 以 及 每 位 用 户 在 连接 网 络 后 的 行为 ， 而 基于 网 络 的 系统 要 做 到 这 种 程度 是 非 
常 困难 的 。 

HIDS 还 可 以 监视 只 有 管理 员 才能 实施 的 异常 行为 。 操 作 系统 记录 了 任何 有 关 用 户 
账号 的 增加 、 删 除 、 更 改 的 情况 ， 一 旦 发 生变 化 ， 基 于 主机 的 IDS 就 能 检测 到 这 种 不 适 
当 的 变化 。 基 于 主机 的 IDS 还 可 审计 能 影响 系统 记录 的 校 验 措施 的 改变 。 

最 后 ，HIDS 可 以 监视 主要 系统 文件 和 可 执行 文件 的 改变 。 系 统 能 够 查 出 那些 欲 改 
写 重要 系统 文件 或 安装 特洛伊 木马 及 后 门 的 尝试 ， 并 将 它们 中 断 。 而 NIDS 有 时 不 会 发 
现 这 些 异 常 行 为 。 

2. 非常 适用 于 加 密 和 交换 环境 

既然 基于 主机 的 系统 驻 留 在 网 络 中 的 主机 上 ， 那 么 ， 它 们 可 以 克服 基于 网 络 的 入 侵 
检测 系统 在 交换 和 加 密 环境 中 所 面临 的 一 些 困 难 。 由 于 在 大 的 交换 网 络 中 确定 IDS 的 
最 佳 位 置 和 网 络 政 盖 非 常 困 难 ， 因 此 基于 主机 的 检测 驻 留 在 关键 主机 上 可 避免 这 一 
难题 。 

根据 在 加 密 后 驻 留 在 协议 栈 中 的 位 置 ，NIDS 可 能 无 法 检测 到 某 些 攻 击 。 基 于 主机 
的 IDS 并 没有 这 个 限制 ， 因 为 当 操作 系统 〈 也 包括 HIDS) 收 到 发 来 的 数据 包 时 ， 数 据 
序列 已 经 被 解密 。 


3. 近 实 时 的 检测 和 应 答 

尽管 基于 主机 的 检测 并 不 提供 真正 实时 应 答 ， 但 新 的 基于 主机 的 检测 技术 已 经 能 够 
提供 近 实 时 检测 和 应 答 。 早 期 的 系统 主要 使 用 一 个 进程 来 定时 检测 日 志文 件 的 状态 和 内 
容 ， 而 许多 现 有 的 HIDS 在 任何 日 志文 件 发 生变 化 时 ， 都 可 以 从 操作 系统 及 时 接收 一 个 
中 断 ， 这 样 就 大 大 缩短 了 攻击 识别 和 应 答 之 间 的 时 间 。 


4. 不 需要 额外 的 硬件 

基于 主机 的 检测 驻 留 在 现 有 的 网 络 基础 设施 上 ， 其 中 包括 文件 服务 器 、Web 服务 器 
和 其 他 的 共享 资源 等 ， 这 样 就 减少 了 基于 主机 的 IDS 的 实施 成 本 ;因为 不 需要 添加 新 的 
硬件 ， 所 以 也 就 减少 了 以 后 维护 和 管理 这 些 硬件 设备 的 负担 。 


13.5.1 HIDS 设计 


越 来 越 多 的 计算 机 病毒 和 黑客 绕 过 外 围 安全 设备 向 主机 发 起 攻击 。 在 检测 针对 主机 
的 攻击 方面 , 基于 网 络 的 入 侵 检 测 系 统 (NIDS ) 显得 无 能 为 力 , 而 基于 主机 的 IDS (HIDS) 
却 能 够 检测 这 种 攻击 。HIDS 软件 安装 在 服务 器 上 ， 也 可 以 安装 在 PC 和 笔记 本 当中 ,被 
认为 是 保护 关键 服务 器 的 最 后 一 道 防线 ， 是 企业 整体 安全 策略 的 关键 部 分 。 

在 通常 情况 下 ， 企 业 针对 服务 器 业务 价值 的 大 小 采取 不 同 的 安全 措施 。HIDS 代理 
程序 通常 被 部 署 在 关键 服务 器 上 。 这 些 服务 器 通常 是 网 络 基础 设施 服务 器 、 业 务 基础 设 
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施 服务 器 和 保存 着 企业 商业 机 密 的 服务 器 。 

HIDS 能 够 监测 系统 文件 、 进 程 和 日 志文 件 ， 寻 找 可 疑 活 动 。 多数 HIDS 代理 程序 根 
据 攻 击 特征 来 识别 攻击 。 与 防 病毒 软件 功能 类 似 ，HIDS 代理 能 够 分 析 不 同形 式 的 数据 
包 和 不 同 特征 的 攻击 行为 。HIDS 扫描 操作 系统 和 应 用 程序 日 志文 件 ， 查 找 恶意 行为 的 
痕迹 ; 检测 文件 系统 ， 查 看 敏感 文件 是 否 被 非法 访问 或 被 自 改 ;检测 进出 主机 的 网 络 传 
输 流 ， 发 现 攻击 。 

黑客 和 病毒 常用 的 一 个 攻击 手段 是 利用 关键 系统 存在 的 缓冲 区 溢出 漏洞 进行 攻击 。 
缓冲 区 溢出 相当 于 打开 了 系统 后 门 ， 为 非法 访问 者 提供 了 根 级 或 管理 员 级 的 访问 权限 。 
攻击 者 通过 操作 系统 的 后 门 ， 将 一 个 特洛伊 木马 程序 复制 到 系统 文件 夹 中 ， 并 将 这 个 特 
洛 伊 文件 注册 到 操作 系统 或 程序 调用 中 , 并 在 系统 被 重新 引导 时 执行 该 特洛伊 木马 程序 。 
每 当 系统 启动 时 ， 这 个 恶意 的 特洛伊 程序 就 会 开始 执行 事先 定义 的 各 种 恶意 活动 。 

通过 将 代理 程序 安装 在 服务 器 上 ，HIDS 可 以 检测 缓冲 区 溢出 攻击 。 如 果 需 要 ， 
HIDS 还 可 以 在 特洛伊 程序 被 复制 时 、Windows 注册 表 被 修改 时 或 特洛伊 程序 被 执行 时 
阻止 入 侵 。 

一 旦 检测 到 入 侵 ，HIDS 代理 程序 可 以 利用 多 种 方式 做 出 反应 。 它 可 以 生成 一 个 与 
其 他 事件 相关 联 的 事件 报告 ， 可 以 利用 电子 邮件 、 呼 机 或 手机 向 管理 人 员 发 出 警报 ;可 
以 执行 特定 的 程序 或 脚本 ， 阻 止 攻击 。 越 来 越 多 的 HIDS 能 够 在 可 疑 活动 的 传输 过 程 中 
检测 到 它们 ， 从 而 可 以 在 攻击 到 达 目 标 之 前 阻止 它们 。 

在 加 强 主 机 防御 和 降低 主机 安全 风险 方面 ，HIDS 具有 独特 的 优势 。 它 能 够 弥补 
NIDS, Ak FHER IDS 及 防火 墙 在 保护 主机 方面 的 不 足 ， 应 当成 为 企业 多 层 安全 战略 的 
组 成 部 分 。 


13.5.2 HIDS 关键 技术 


主机 入 侵 检测 系统 通常 在 被 重点 检测 的 主机 上 运行 一 个 代理 程序 。 该 代理 程序 扮演 
着 检测 引擎 的 角色 ， 根 据 主机 行为 特征 库 对 受 检测 主机 上 的 可 疑 行 为 进行 采集 、 分 析 和 
判断 ， 并 把 告警 日 志 发 送 给 控制 端 程序 ， 由 管理 员 集中 管理 。 此 外 ， 代 理 程 序 需要 定期 
给 控制 端 发 出 信号 ， 使 管理 员 能 确信 代理 程序 工作 正常 。 如 果 是 个 人 主机 入 侵 检测 ， 代 
理 程序 和 控制 端 管理 程序 可 以 合并 在 一 起 ， 管 理 程序 也 简单 得 多 。 

在 Windows NT/2000 中 ， 系 统 有 自 带 的 安全 工具 ， 类 似 于 早期 Windows 版 本 的 策 
略 编辑 器 。 利 用 这 个 工具 可 以 使 安全 策略 的 规划 和 实施 变 得 更 加 容易 。 安 全 策略 问题 包 
括 账号 策略 、 本 地 策略 、 共 钥 策 略 和 IP 安全 策略 。 系 统 中 违反 安全 策略 的 行为 都 作为 事 
件 发 送 给 系统 安全 日 志 。 主 机 入 侵 检测 可 以 根据 安全 日 志 分 析 、 判 断 入 侵 行为 。 


1. 文件 和 注册 表 保 护 技术 

在 主机 入 侵 检测 系统 中 ， 无 论 采用 什么 操作 系统 ， 普 遍 使 用 到 各 种 勾 子 技术 ， 对 系 
统 的 各 种 事件 、 活 动 进行 截获 分 析 。 在 Windows NT/2000 中 ， 由 于 系统 中 的 各 种 API 子 
系统 (如 Win32 子 系统 、Posix 子 系统 及 其 他 系统 ) 最 终 都 要 调用 相应 的 系统 服务 例 程 
(System Services Routines)， 所 以 可 以 将 系统 服务 例 程 勾 子 化 。 入 侵 检测 系统 通过 捕获 操 
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作文 件 系 统 和 注册 表 的 函数 来 检测 对 文件 系统 和 注册 表 的 非法 操作 。 在 某 些 系统 中 ， 可 
以 通过 复制 勾 子 处 理 函 数 。 这 不 仅 可 以 对 敏感 文件 或 目录 检测 非法 操作 ， 还 可 以 阻止 对 
文件 或 目录 进行 的 操作 。 


2. 网 络 安全 防护 技术 

网 络 安全 防护 是 大 多 数 主机 入 侵 检测 系统 的 核心 模块 之 一 。 该 模块 需要 使 用 NDIS 
等 技术 分 析 数 据 包 的 有 关 源 地 址 、 协 议 类 型 、 访 问 端口 和 传输 方向 (OUT/IN) 等 ， 并 与 
事件 库 中 的 事件 特征 进行 匹配 ， 判 断 数据 包 是 否 能 访问 主机 或 是 否 作 为 入 侵 事 件 被 
报警 。 

NDIS 是 用 于 Windows 系列 操作 系统 的 网 络 驱动 程序 接口 。 按 照 NDIS 提供 的 接口 
标准 ， 任 何 与 NDIS 兼容 的 传输 驱动 程序 都 能 够 和 与 NDIS 兼容 的 网 络 适配器 驱动 程序 
进行 信息 交流 。 也 可 以 采用 NDIS HOOK + WinSock2 SPI 双重 技术 实现 更 复杂 、 更 灵活 
的 安全 防护 和 入 侵 分 析 功 能 。 编 写 NDIS 驱动 程序 ， 需 要 的 技巧 比较 高 ， 而 且 烦 琐 ， 需 
要 考虑 很 多 细节 。 有 关 具 体 的 实现 方法 ， 请 参见 Wink DDK 文档 。 

拨号 检测 在 主机 入 侵 检 测 系统 中 也 有 其 特殊 用 途 。 很 多 重要 部 门 都 装 有 内 部 网 ， 出 
于 对 信息 的 高 度 安全 要 求 ， 公 司 〈 或 部 门 ) 不 希望 员工 私自 安装 Modem 拨号 入 网 。 安 
装 于 内 部 网 中 的 带 有 拨号 检测 的 主机 入 侵 检测 系统 可 以 检测 到 员工 的 这 种 违规 行为 并 及 
时 阻止 。 在 内 部 网 中 ， 如 果 要 阻止 员工 侵入 其 他 员工 的 系统 窃取 机 密 信息 ， 通 常 需要 主 
机 入 侵 检测 系统 对 不 同 主机 中 的 敏感 文件 或 目录 进行 检测 。 


3. IIS 保护 技术 

作为 一 个 WWW 服务 器 软件 ， 微 软 公司 的 Internet 信息 服务 器 (Internet Infomation 
Server, IIS) 简单 易学 ,管理 方便 ,被 广泛 使 用 。 大 部 分 HIDS 产品 都 增加 了 IS 保护 模 
块 。IIS 保护 主要 是 针对 “HTTP 请 求 ””“ 缓 冲 区 溢出 ”“ 关 键 字 ”和 “物理 目录 ”等 完 
成 对 IIS 服务 器 的 加 固 功能 。 该 模块 能 检测 常见 的 针对 微软 IIS 服务 器 的 攻击 ， 并 能 在 一 
定 程度 上 预防 利用 未 知 漏洞 所 进行 的 攻击 。 

(1) HTTP 请 求 类 型 

指定 可 以 到 达 IS 服务 器 的 HTTP 请 求 的 类 型 ， 被 禁止 的 请 求 类 型 将 被 拦截 ， 从 而 
使 IS 服务 不 对 这 些 请 求 进行 处 理 。 因 为 某 些 类 型 的 HTTP 请 求 曾 被 发 现存 在 潜在 的 安 

通常 只 需要 允许 GET. POST. HEAD 类 型 的 请 求 ， 便 可 以 让 其 他 人 通过 浏览 器 正 
常 访问 IIS 网 站 。 

(2) 缓冲 区 溢出 

攻击 者 通常 通过 工具 构造 出 各 种 畸形 数据 包 对 服务 器 进行 试探 ， 以 发 现 目标 机 器 中 
潜在 的 缓冲 区 溢出 漏洞 。IIS 保护 模块 可 以 对 超 长 的 HTTP 请 求 包 进行 检测 ， 拦 截 非法 的 
请 求 。 

(3) 关键 字 

对 HTTP 请 求 进行 内 容 分 析 ， 禁 止 包 含 某 些 关键 字 的 请 求 ， 如 cmd.exe 等 。 
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(4) 物理 目录 

禁止 通过 HTTP 请 求 进行 物理 目录 的 非法 映射 操作 。 

可 以 通过 ISAPI 过 滤器 实现 上 述 功能 ， 进 行 自己 定制 的 处 理 。ISAPI 过 滤器 可 以 定 
制 以 下 的 处 理 : 接收 HTTP 协议 头 预 处 理 、 发 送 HTTP 协议 头 预 处 理 、 发 送 数据 预 处 理 、 
获得 数据 预 处 理 、HTTP 会 话 结束 信息 处 理 、 自 定义 的 安全 认证 机 制 、URL 映射 信息 处 
理 及 日 志 记录 处 理 等 。 


4. 文件 完整 性 分 析 技 术 

基于 主机 的 入 侵 检测 系统 的 一 个 优势 是 可 以 根据 结果 进行 判断 。 判 据 之 一 就 是 关键 
系统 文件 有 没有 在 未 经 允许 的 情况 下 被 修改 ， 包 括 访问 时 间 、 文 件 大 小 和 MD-5 密码 校 
验 值 。HIDS 一 般 使 用 杂凑 函数 进行 文件 完整 性 分 析 。 有 关 杂 凑 算 法 的 详细 介绍 ， 请 参 
考 相 关 的 密码 学 教材 。 
主机 入 侵 检测 系统 需要 与 现 有 系统 紧密 集成 ， 支 持 的 平台 越 多 越 好 。 目 前 的 主流 商 
业 入 侵 检测 系统 通常 支持 或 将 支持 大 部 分 主流 的 企业 级 Windows 和 UNIX 系统 。 


136 _DIDS 























在 实际 应 用 中 ， 经 常 发 现 如 下 一 些 现象 : 

C1) 系统 的 弱点 或 漏洞 分 散在 网 络 的 各 个 主机 上 ， 这 些 弱 点 有 可 能 被 入 侵 者 一 起 用 
来 攻击 网 络 ， 而 依靠 唯一 的 主机 或 网 络 ，IDS 不 能 发 现 入 侵 行为 。 

(2) 入 侵 行 为 不 再 是 单一 的 行为 ， 而 表现 出 协作 入 侵 的 特点 ， 如 分 布 式 拒绝 服务 攻 
击 (DDoS )。 

(3) 入 侵 检测 所 依靠 的 数据 来 源 分 散 化 ， 收 集 原 始 数据 变 得 困难 ， 如 交换 网 络 使 得 
监听 网 络 数据 包 受 到 限制 。 

(4) 网 络 传输 速度 加 快 ， 网 络 的 流量 大 ， 集 中 处 理 原始 数据 的 方式 往往 造成 检测 瓶 
颈 ， 从 而 导致 漏 检 。 

为 了 解决 上 述 问 题 ，DIDS 应 运 而 生 。DIDS 通常 由 数据 采集 构件 、 通 信 传 输 构 件 、 
入 侵 检测 分 析 构 件 、 应 急 处 理 构件 和 用 户 管理 构件 等 组 成 ， 如 图 13-7 所 示 。 这 些 构 件 可 
根据 不 同情 况 组 合 ， 如 数据 采集 构件 和 通信 传输 构件 组 合 就 产生 出 新 的 构件 ， 这 些 新 的 
构件 能 够 完成 数据 采集 和 传输 的 双重 任务 。 所 有 这 些 构件 组 合 起 来 就 变 成 一 个 入 侵 检测 
系统 。 各 构件 的 功能 如 下 : 

CL) 数据 采集 构件 ， 收 集 检 测 使 用 的 数据 ， 可 驻 留 在 网 络 中 的 主机 上 ， 或 者 安装 在 
网 络 的 检测 点 上 。 数 据 采集 构件 需要 通信 传输 构件 的 协作 ， 将 采集 的 信息 送 到 入 侵 检 测 
分 析 构件 中 进行 处 理 。 

(2) 通信 传输 构件 : 传递 加 工 、 处 理 原始 数据 的 控制 命令 ， 一 般 需 要 和 其 他 构件 协 
作 完 成 通信 功能 。 

(3) 入 侵 检 测 分 析 构 件 : 依据 检测 的 数据 ， 采 用 检测 算法 ， 对 数据 进行 误 用 分 析 和 
异常 分 析 ， 产 生 检测 结果 、 报 警 和 应 急 信号。 
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C4) 应 急 处 理 构件 : 按 入 侵 检测 的 结果 和 主机 、 网 络 的 实际 情况 做 出 决策 判断 ， 对 
入 侵 行为 进行 响应 。 
(5) 用 户 管理 构件 : 管理 其 他 构件 的 配置 ， 产 生 入 侵 总 体 报告 ， 提 供用 户 和 其 他 构 
件 的 管理 接口 、 图 形 化 工具 或 可 视 化 的 界面 ， 供 用 户 查询 和 检测 入 侵 系统 的 情况 等 。 


数据 采集 可 通信 传输 构 f 
2 所 通信 传输 构件 















































用 户 管理 构 作 
应 各 处 理 构 件 | 仁 -一 -| 入 侵 检测 分 析 构件 
zame | 











图 13-7 分 布 式 入 侵 检测 系统 结构 示意 图 
采用 分 布 式 结构 的 IDS 目前 成 为 研究 的 热点 ， 较 早 的 系统 有 DIDS 和 CSM. DIDS 


是 典型 的 分 布 式 结构 系统 ， 系 统 框图 如 图 13-8 所 示 。 其 目标 是 既 能 检测 网 络 入 侵 行 为 ， 
又 能 检测 主机 入 侵 行为 。 
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图 13-8 DIDS 系统 框图 




















37 IDS 设计 上 的 考虑 与 部 署 





13.7.1 控制 台 的 设计 


控制 台 通过 直观 、 方 便 的 操作 界面 管理 远程 探测 器 ， 汇 总 各 个 探测 器 报告 的 告警 事 
件 ， 并 实现 日 志 检 索 、 备 份 、 恢 复 、 报 表 等 功能 。 控 制 台 的 设计 重点 是 日 志 检 索 、 探 测 
器 管理 、 规 则 管理 、 日 志 报表 及 用 户 管理 等 。 


1. 日 志 检索 

网 络 管理 员 可 以 使 用 单一 条 件 或 复合 条 件 进行 检索 ， 当 告警 日 志 数量 庞大 、 来 源 广 
泛 时 ， 系 统 需要 对 告警 日 志 按照 危险 等 级 进行 分 类 ， 从 而 突出 显示 网 络 管理 员 需 要 的 最 
重要 信息 。 日 志 检索 的 条 件 至 少 包括 来 源 地 址 、 目 标 地 址 、 来 源 端口 、 目 标 端口 、 攻 击 
特征 、 风 险 等 级 、 时 间 段 等 。 

2. 探测 器 管理 

控制 台 可 以 一 次 管理 多 个 探测 器 ， 包 括 启 动 、 停 止 、 配 置 探测 器 和 查看 探测 器 运行 
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3. 规则 管理 

为 用 户 提供 根据 不 同 网 段 具 体 情况 灵活 配置 安全 策略 的 工具 ， 针 对 不 同情 况 制 定 相 
应 的 安全 规则 。 提 供 规则 的 在 线 和 离线 升级 功能 ， 设 置 每 条 规则 的 响应 策略 及 允许 管理 
自 定义 规则 等 。 

另外 ， 针 对 每 条 规则 还 需要 提供 详细 的 帮助 信息 《包括 攻击 类 型 、 详 细 描述 、 风 险 
等 级 、 解 决 方案 、 受 影响 的 操作 系统 、CVE、 相 关 参 考 链 接 等 )。 


4. 日 志 报表 
至 少 需要 提供 多 种 文本 和 图 形 的 报表 模板 ， 且 报表 格式 可 以 导出 WORD. HTML, 
TXT、EXCEL、PDF 等 常用 的 格式 。 


5. 用 户 管理 

对 用 户 权 限 进行 严格 的 定义 ， 提 供 口令 修改 、 添 加 用 户 、 删 除 用 户 、 用 户 权限 配置 
等 功能 ， 有 效 保护 系统 使 用 的 安全 性 。 

控制 台 功 能 框图 如 图 13-9 所 示 。 
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图 13-9 控制 台 功 能 框图 


13.7.2 ”自身 安全 设计 


计算 机 网 络 入 侵 检测 系统 部 署 在 网 络 的 关键 节点 上 ， 捕 获 并 记录 黑客 的 入 侵 行为 。 
这 一 特殊 性 决定 它 必然 受到 攻击 者 的 特别 关注 ， 所 以 入 侵 检测 系统 自身 的 安全 问题 非常 
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重要 。 在 系统 设计 中 ， 需 要 充分 考虑 系统 自身 的 安全 体系 结构 。 


1. 系统 安全 

计算 机 网 络 入 侵 检 测 系统 部 署 在 网 络 的 关键 节点 上 , 通常 放置 在 防火 墙 的 DMZ 中 ， 
当 攻 击 成 功 通过 防火 墙 后 ， 该 系统 会 识别 攻击 ， 产 生 告 警 ， 并 通过 与 防火 墙 联动 来 阻 断 
攻击 。 这 样 不 仅 能 检测 到 黑客 的 攻击 和 入 侵 ， 同 时 又 能 够 减少 黑客 的 干扰 。 将 监听 网 口 
与 管理 网 口 分 离 ， 监 听 网 口 卸 掉 IP 栈 使 得 监听 网 口 不 带 任 何 卫 地址， 实现 隐 藏 IDS HE 
测 器 的 目的 。 检 测 系统 所 在 的 操作 系统 平台 安装 最 新 的 系统 补丁 ， 停 止 一 些 不 必要 的 守 
护 服务 程序 ， 禁 止 大 部 分 远程 访问 权限 ， 设 置 安全 策略 审核 策略 管理 、 登 录 事件 等 重要 
的 系统 操作 ， 删 除 默认 共享 ， 禁 止 匿 名 账号 等 ， 防 止 黑 客 对 IDS 主机 的 攻击 。 

2. 认证 和 审计 

为 了 防止 非法 用 户 的 使 用 ， 控 制 台 管理 程序 的 登录 必须 首先 进行 高 强度 的 身份 认证 ， 
并 且 对 用 户 的 登录 事件 和 具体 操作 过 程 进行 详细 的 审计 。 在 身份 认证 方面 ， 密 码 和 账号 不 
能 少 于 6 位 ， 必 须 是 数字 和 字母 的 组 合 ， 并 且 密 码 和 账号 不 能 相同 ， 以 增加 破解 难度 ; 设 
计 账 号 锁定 和 定期 修改 策略 ， 防 止 暴力 破解 。 另外， 最 好 不 保存 管理 员 密 码 , 使 用 SHA-1 
等 单 向 算法 ， 只 保存 杂凑 后 的 数据 ， 从 而 保证 密码 的 安全 。 在 程序 安全 性 方面 ， 使 用 完整 
性 检查 功能 ， 设 置 策 略 定期 对 重要 文件 进行 完整 性 检查 ， 防 止 程序 和 文件 的 非法 自 改 。 

3. 通信 安全 

控制 台 和 探测 器 之 间 的 通信 采用 TCP/P。 由 于 TCP/IP 本 身 没 有 任何 安全 措施 ， 通 
信 内 容 有 可 能 泄漏 。 为 了 保护 控制 台 和 探测 器 之 间 的 通信 ， 可 以 采用 安全 套 接 层 (SSL) 
协议 对 传输 的 数据 进行 加 密 ， 实 现 通信 数据 的 完整 性 和 保密 性 。 


13.7.3 IDS 的 典型 部 署 


在 网 络 中 部 署 IDS 时 , 可 以 使 用 多 个 NIDS 和 HIDS, 这 要 根据 网 络 的 实际 情况 和 自 
己 的 需求 。 图 13-10 是 一 个 典型 的 IDS 的 部 署 图 。 
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图 13-10 典型 的 IDS 的 部 署 图 
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随 着 网 络 技术 和 网 络 规模 的 不 断 发 展 ， 人 们 对 于 计算 机 网 络 的 依赖 也 不 断 增 强 。 同 
时 ， 针 对 网 络 系 统 的 攻击 越 来 越 普 遍 ， 攻 击 手法 日 趋 复杂 。IDS 也 随 着 网 络 技术 和 相关 
学 科 的 发 展 而 日 趋 成 熟 ， 其 未 来 发 展 的 趋势 主要 表现 在 以 下 方面 : 


1. 宽带 高 速 实时 的 检测 技术 

大 量 高 速 网 络 技术 ， 如 ATM、 千 兆 以 太 网 等 相继 出 现 ， 在 此 背景 下 的 各 种 宽带 接 入 
手段 层出不穷 。 如 何 实 现 高 速 网 络 下 的 实时 入 侵 检测 已 经 成 为 现实 面临 的 问题 。 目 前 的 
FE IDS 产品 其 性 能 指标 与 实际 要 求 相差 很 远 。 要 提高 其 性 能 主要 应 考虑 以 下 两 个 方面 : 
首先 ，IDS 的 软件 结构 和 算法 需要 重新 设计 ， 以 期 适应 高 速 网 的 环境 ， 提 高 运行 速度 和 
效率 ; 其 次 ， 随 着 高 速 网 络 技术 的 不 断 发 展 与 成 熟 ， 新 的 高 速 网 络 协议 的 设计 也 必 将 成 
为 未 来 发 展 的 趋势 ， 现 有 IDS 如 何 适 应 和 利用 未 来 的 新 网 络 协议 将 是 一 个 全 新 的 问题 。 


2. 大 规模 分 布 式 的 检测 技术 

传统 的 集中 式 IDS 的 基本 模型 是 在 网 络 的 不 同 网 段 放置 多 个 探测 器 来 收集 当前 网 络 
状态 的 信息 ， 然 后 将 这 些 信息 传 送 到 中 央 控 制 台 进 行 处 理 分 析 。 这 种 方式 存在 明显 的 缺 
陷 。 首 先 ， 对 于 大 规模 的 分 布 式 攻击 ， 中 央 控 制 台 的 负荷 将 会 超过 其 处 理 极限 ， 这 种 情 
况 会 造成 大 量 处 理 信息 的 遗漏 ， 导 致 漏 报 率 的 增高 。 其 次 ， 多 个 探测 器 收集 到 的 数据 在 
网 络 上 的 传输 会 在 一 定 程度 上 增加 网 络 负担 ， 导 致 网 络 系统 性 能 的 降低 。 再 者 ， 由 于 网 
络 传输 的 时 延 问 题 ， 中 央 控 制 台 处 理 的 网 络 数据 包 中 所 包含 的 信息 只 反映 了 探测 器 接收 
到 它 时 的 网 络 状 态 ， 不 能 实时 反映 当前 网 络 状态 。 

面 对 以 上 问题 ， 新 的 解决 方法 也 随 之 产生 ， 例 如 Purdue 大 学 开发 的 AAFID 系统 ， 
该 系统 是 Purdue 大 学 设计 的 一 种 采用 树 形 分 层 构造 的 代理 群体 ， 根 部 是 监视 器 代理 ， 提 
供 全 局 的 控制 、 管 理 ， 以 及 分 析 由 下 一 层 节 点 提供 的 信息 ， 在 树叶 部 分 的 代理 专门 用 来 
收集 信息 。 处 在 中 间 层 的 代理 被 称 为 收发 器 , 这 些 收 发 器 一 方面 实现 对 底层 代理 的 控制 ， 
一 方面 可 以 对 信息 做 预 处 理 ， 把 精练 的 信息 反馈 给 上 层 的 监视 器 。 这 种 结构 采用 了 本 地 
代理 处 理 本 地 事件 ， 中 央 代理 负责 整体 分 析 的 模式 。 与 集中 式 不 同 ， 它 强调 通过 全 体 智 
能 代理 的 协同 工作 来 分 析 入 侵 策略 。 这 种 方法 明显 优 于 前 者 , 但 同时 带 来 一 些 新 的 问题 ， 
如 代理 间 的 协作 和 通信 等 。 这 些 问 题 仍 在 进一步 研究 中 。 


3. 数据 挖掘 技术 

操作 系统 的 日 益 复 杂 和 网 络 数据 流量 的 急剧 增加 , 导致 了 审计 数据 以 惊人 速度 增加 ， 
如 何在 海量 的 审计 数据 中 提取 具有 代表 性 的 系统 特征 模式 ， 以 及 对 程序 和 用 户 行为 做 出 
更 精确 的 描述 ， 是 实现 入 侵 检测 的 关键 。 

数据 挖掘 技术 是 一 项 通用 的 知识 发 现 技 术 ， 其 目的 是 要 从 海量 数据 中 提取 对 用 户 有 
用 的 数据 。 将 该 技术 用 于 入 侵 检测 领域 ， 利 用 数据 挖掘 中 的 关联 分 析 、 序 列 模式 分 析 等 
算法 提取 相关 的 用 户 行为 特征 ， 并 根据 这 些 特征 生成 安全 事件 的 分 类 模型 ， 应 用 于 安全 
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事件 的 自动 鉴别 。 一 个 完整 的 基于 数据 挖掘 的 入 侵 检测 模型 包括 对 审计 数据 的 采集 、 数 
据 预 处 理 、 特 征 变量 选取 、 算 法 比较 、 挖 气 结 果 处 理 等 一 系列 过 程 。 这 项 技术 难点 在 于 
如 何 根据 具体 应 用 的 要 求 ， 从 用 于 安全 的 先 验 知识 出 发 ， 提 取 可 以 有 效 反映 系统 特性 的 
特征 属性 ， 应 用 合适 的 算法 进行 数据 挖掘 。 另 一 个 技术 难点 在 于 如 何 将 挖掘 结果 自动 地 
应 用 到 实际 的 IDS 中 。 目 前 ， 国 际 上 在 这 个 方向 上 的 研究 很 活跃 ， 这 些 研 究 多 数 得 到 了 
美国 国防 部 高 级 计划 署 、 国 家 自然 科学 基金 的 支持 。 但 也 应 看 到 ， 数 据 挖 抉 技术 用 于 入 
侵 检测 的 研究 总 体 上 来 说 还 处 于 理论 探讨 阶段 ， 离 实际 应 用 还 有 相当 距离 。 


4. 更 先进 的 检测 算法 

在 入 侵 检测 技术 的 发 展 过 程 中 ， 新 算法 的 出 现 可 以 有 效 提高 检测 效率 。 下 述 3 种 机 
器 学 习 算 法 为 当前 检测 算法 的 改进 注入 了 新 的 活力 。 它 们 分 别 是 计算 机 免疫 技术 、 神 经 
网 络 技术 和 遗传 算法 。 

(1) 计算 机 免疫 技术 是 直接 受到 生物 免疫 机 制 的 启发 而 提出 的 。 在 生物 系统 中 ， 脆 
弱 性 因素 由 免疫 系统 来 处 理 ， 而 这 种 免疫 机 制 在 处 理 外 来 异体 时 呈现 出 分 布 、 多 样 性 、 
自治 及 自修 复 等 特征 ， 免 疫 系 统 通过 识别 异常 或 以 前 未 出 现 的 特征 来 确定 入 侵 。 计 算 机 
免疫 技术 为 入 侵 检 测 提供 了 一 个 思路 ， 即 通过 正常 行为 的 学 习 来 识别 不 符合 常态 的 行为 
序列 。 这 方面 的 研究 工作 已 经 开展 很 入， 但 仍 有 待 于 进一步 深入 。 

(2) 神经 网 络 技术 在 入 侵 检 测 中 的 应 用 研究 时 间 较 长 ， 并 在 不 断 发 展 。 早 期 的 研究 
通过 训练 后 向 传播 神经 网 络 来 识别 已 知 的 网 络 入 侵 ， 进 一 步 研 究 识别 未 知 的 网 络 入 侵 行 
为 。 今 天 的 神经 网 络 技术 已 经 具备 相当 强 的 攻击 模式 分 析 能 力 ， 能 够 较 好 地 处 理 带 噪声 
的 数据 ， 而 且 分 析 速 度 很 快 ， 可 以 用 于 实时 分 析 。 现 在 提出 了 各 种 其 他 神经 网 络 架构 ， 
诸如 自 组 织 特征 映射 网 络 等 ， 以 期 克服 后 向 传播 网 络 的 若干 限制 性 缺陷 。 

G) 遗传 算法 在 入 侵 检 测 中 的 应 用 研究 时 间 不 长 ， 在 一 些 研究 试验 中 ， 利 用 若干 字 
符 串 序列 来 定义 用 于 分 析 检测 的 命令 组 ， 用 以 识别 正常 或 异常 行为 。 这 些 命令 在 初始 训 
练 阶段 不 断 进化 ， 分 析 能 力 明显 提高 。 该 算法 的 应 用 还 有 待 于 进一步 的 研究 。 


5. 入 侵 响 应 技术 

当 IDS 检测 出 入 侵 行为 或 可 疑 现象 后 ， 系 统 需要 采取 相应 手段 ， 将 入 侵 造 成 的 损失 
降 至 最 小 。 系 统一 般 可 以 通过 生成 事件 告警 、E-mail 或 短信 息 来 通知 管理 员 。 随 着 网 络 
变 得 日 益 复杂 和 安全 要 求 的 不 断 提高 ， 更 加 实时 的 系统 自动 入 侵 响 应 方法 正 逐渐 得 到 研 
究 和 应 用 。 这 类 入 侵 响 应 大 致 分 为 3 类 : 系统 保护 、 动 态 策略 和 攻击 对 抗 。 这 3 方面 都 
属于 网 络 对 抗 的 范畴 ， 系 统 保护 以 减少 入 侵 损失 为 目的 ;动态 策略 以 提高 系统 安全 性 为 
职责 ， 而 攻击 对 抗 则 不 仅 可 以 实时 保护 系统 ， 还 可 实现 入 侵 跟 踪 和 反 入 侵 的 主动 防御 
策略 。 

总 之 ， 入 侵 检测 技术 作为 当前 网 络 安全 研究 的 热点 ， 它 的 快速 发 展 和 极 具 潜 力 的 应 
用 前 景 需要 更 多 的 研究 人 员 参 与 。IDS 只 有 在 基础 理论 研究 和 工程 项 目 开发 多 个 层面 上 
同时 发 展 ， 才 能 全 面 提高 整体 检测 效率 。 
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J A 


. 根据 数据 的 来 源 不 同 ，IDS 可 分 为 和 3 种 类 型 。 
. 一 个 通用 的 IDS 模型 主要 由 和 4 部 分 








. 入 侵 检测 一 般 分 为 3 个 步 又， 分别 为 、 和 
. 一 个 NIDS 在 功能 结构 上 应 至 少 包含 、 、 和 








4 部 分 功能 。 


5. 
组 成 。 
6. 


DIDS 通常 由 和 5 个 构件 





IDS 控制 台 主 要 由 、 、 和 5 个 功 





能 模块 构成 。 


8. 
9, 


COA DARWN 


10. 
. BE ARE PE SEAT A? 它们 在 检测 入 侵 方 面 有 什么 优势 ? 
. IDS 在 自身 安全 设计 上 应 该 注意 哪些 问题 ? 

. 请 画 出 各 类 IDS 在 一 个 实际 网 络 中 的 部 署 图 。 

. 请 简 述 IDS 的 发 展 方向 。 


HIDS 常安 装 于 上 ， 而 NIDS 常安 装 于 入 口 处 。 
潜在 入 侵 者 的 信息 可 以 通过 检查 日 志 来 获得 。 
吸引 潜在 攻击 者 的 陷阱 称 为 。 





入 侵 检测 系统 的 定义 是 什么 ? 

入 侵 检测 系统 按照 功能 可 分 为 哪儿 类 ? 有 哪些 主要 功能 ? 

一 个 好 的 IDS 应 该 满足 哪些 基本 特性 ? 

常用 的 入 侵 检测 统计 模型 有 哪些 ? 

试 分 析 基 于 异常 与 基于 误 用 这 两 种 检测 技术 的 优 缺 点 。 

什么 是 异常 检测 ?基于 异常 检测 原理 的 入 侵 检 测 方 法 有 哪些 ? 

什么 是 误 用 检测 ? 基于 误 用 检测 原理 的 入 侵 检测 方法 有 哪些 ? 

简 述 NIDS 和 HIDS 的 区 别 ， 并 对 各 自 采 用 的 关键 技术 加 以 描述 。 

除了 异常 检测 和 误 用 检测 之 外 ， 还 有 哪些 常用 的 入 侵 检 测 技 术 ? 
简 述 NIDS 的 数据 流程 。 
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VPN 技术 


44.1 VPN 概述 





随 着 电子 商务 和 电子 政务 应 用 的 日 益 普及 ， 越 来 越 多 的 企业 欲 把 处 于 世界 各 地 的 分 
支 机 构 、 供 应 商 和 合作 伙伴 通过 Internet 连接 在 一 起 ， 以 加 强 总 部 与 各 分 支 机 构 的 联系 ， 
提高 企业 与 供应 商 和 合作 伙伴 之 间 的 信息 交换 速度 ， 使 移动 办 公 人 员 能 在 出 差 时 访问 总 
部 的 网 络 进行 信息 交换 。 为 了 实现 LAN-to-LAN 的 互 连 ， 传 统 的 企业 组 网 方案 是 租用 电 
信 DDN 专线 或 帧 中 继 电 路 以 组 成 企业 的 专用 网 络 ， 但 这 种 方案 成 本 太 高 ， 企 业 无 法 承 
受 。 对 于 移动 用 户 而 言 ， 出 差 时 只 能 通过 拨号 线路 访问 所 属 企业 的 网 络 。 随 着 全 球 化 步 
伐 的 加 快 和 公司 业务 的 增长 , 移动 办 公 人 员 会 越 来 越 多 , 公司 的 客户 关系 也 越 来 越 庞大 ， 
这 样 的 方案 必然 导致 昂贵 的 线路 租用 费 和 长 途 电话 费 。 在 这 种 背景 下 ， 人 们 便 想到 是 否 
可 以 使 用 无 处 不 在 的 Internet 来 构建 企业 自己 的 专用 网 络 。 这 种 需求 就 导致 了 虚拟 专 网 
(Virtual Private Network, VPN) 概念 的 出 现 。 

采用 VPN 技术 组 网 ， 企 业 可 以 以 一 种 相对 便宜 的 月 付费 方式 上 网 。 然 而 ，Internet 
是 一 个 共享 的 公共 网 络 ， 因 此 不 能 保证 数据 在 两 点 之 间 传 递 时 不 被 他 人 窃取 。 要 想 安 全 
地 将 两 个 企业 子 网 连 在 一 起 ， 或 者 确保 移动 办 公 人 员 能 安全 地 远程 访问 公司 内 部 的 秘密 
资源 ， 就 必须 保证 Internet 上 传输 数据 的 安全 ， 并 对 远程 访问 的 移动 用 户 进行 身份 认证 。 


14.1.1 VPN 的 概念 


所 谓 虚拟 专 网 ， 是 指 将 物理 上 分 布 在 不 同 地 点 的 网 络 通过 公用 网 络 连接 而 构成 逻辑 
上 的 虚拟 子 网 。 它 采用 认证 、 访 问 控 制 、 机 密 性 、 数 据 完 整 性 等 安全 机 制 在 公用 网 络 上 
构建 专用 网 络 ， 使 得 数据 通过 安全 的 “加 密 管道 ”在 公用 网 络 中 传播 。 这 里 的 公用 网 通 
常 指 Internet. 

VPN 技术 实现 了 内 部 网 信息 在 公用 信息 网 中 的 传输 ， 就 如 同 在 茫茫 的 广域网 中 为 用 
户 拉 出 一 条 专线 。 对 于 用 户 来 讲 ， 公 用 网 络 起 到 了 “虚拟 ”的 效果 ， 虽 然 他 们 身 处 世界 
的 不 同 地 方 , 但 感觉 仿佛 是 在 同一 个 局 域 网 里 工作 。VPN 对 每 个 使 用 者 来 说 也 是 “专用 ” 
的 。 也 就 是 说 ，VPN 根据 使 用 者 的 身份 和 权限 ， 直 接 将 其 接 入 VPN， 非 法 的 用 户 不 能 接 
入 VPN 并 使 用 其 服务 。 


14.1.2 VPN 的 特点 
在 实际 应 用 中 ， 用 户 需要 什么 样 的 VPN We? 好 的 VPN 应 具备 以 下 几 个 特点 。 
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1. 费用 低 
由 于 企业 使 用 Internet 进行 数据 传输 ， 相 对 于 租用 专线 来 说 ， 费 用 极为 低廉 ， 所 以 
VPN 的 出 现 使 企业 通过 Internet 既 安 全 又 经 济 地 传输 机 密 信息 成 为 可 能 


2. 安全 保障 

虽然 实现 VPN 的 技术 和 方式 很 多 ， 但 所 有 的 VPN 均 应 保证 通过 公用 网 络 平台 所 传 
输 数 据 的 专用 性 和 安全 性 。 在 非 面向 连接 的 公用 P 网 络 上 建立 一 个 逻辑 的 、 点 对 点 的 连 
接 ， 称 为 建立 了 一 个 隧道 。 经 由 隧道 传输 的 数据 采用 加 密 技术 进行 加 密 ， 以 保证 数据 仅 
被 指定 的 发 送 者 和 接收 者 知道 ， 从 而 保证 了 数据 的 专用 性 和 安全 性 。 


3. 服务 质量 保证 (QoS) 

VPN 应 当 能 够 为 企业 数据 提供 不 同等 级 的 服务 质量 保证 。 不 同 的 用 户 和 业务 对 服务 
质量 (QoS) 保证 的 要 求 差别 较 大 。 例 如 ， 对 于 移动 办 公用 户 来 说 ， 网 络 能 提供 广泛 的 
连接 和 覆盖 性 是 保证 VPN 服务 质量 的 一 个 主要 因素 ， 而 对 于 拥有 众多 分 支 机 构 的 专线 
VPN， 则 要 求 网 络 能 提供 良好 的 稳定 性 ， 其 他 一 些 应 用 〈 如 视频 等 ) 则 对 网 络 提出 了 更 
明确 的 要 求 , 如 网 络 时 延 及 误 码 率 等 。 所 有 网 络 应 用 均 要 求 VPN 根据 需要 提供 不 同等 级 
的 服务 质量 。 

在 网 络 优化 方面 ,构建 VPN 的 另 一 重要 需求 是 充分 ,有效 地 利用 有 限 的 广域网 资源 ， 
为 重要 数据 提供 可 靠 的 带宽 。 广 域 网 流量 的 不 确定 性 使 其 带宽 的 利用 率 很 低 ， i 
峰 时 可 能 会 引起 网 络 阻塞 ， 产 生 网 络 瓶颈 ， 使 实时 性 要 求 高 的 数据 得 不 到 及 时 发 送 ， 

在 流量 低谷 时 又 造成 大 量 的 网 络 带宽 闲置 。QoS 通过 流量 预测 与 流量 控制 策略 ， ae 
照 优 先 级 分 配 带宽 资源 ， 实 现 带宽 管理 ， 使 各 类 数据 能 够 被 合理 地 有 序 发 送 ， 并 预防 阻 
FEIN BE.» 


4. 可 扩充 性 和 灵活 性 

VPN 必须 能 够 支持 通过 内 域 网 Intranet) 和 外 联网 (Extranet) 的 任何 类 型 的 数据 
流 、 方 便 增加 新 的 节点 、 支 持 多 种 类 型 的 传输 媒介 ， 可 以 满足 同时 传输 语音 、 图 像 和 数 
据 对 高 质量 传输 及 带宽 增加 的 需求 。 


5. 可 管理 性 

从 用 户 角度 和 运营 商 角 度 来 看 ， 对 VPN 进行 管理 和 维护 应 该 非常 方便 。 在 VPN 管 
理 方面 ，VPN 要 求 企 业 将 其 网 络 管理 功能 从 局 域 网 无 缝 地 延伸 到 公用 网 ， 甚 至 是 客户 和 
合作 伙伴 处 。 昌 然 可 以 将 一 些 次 要 的 网 络 管理 任务 交 给 服务 提供 商 去 完成 ， 企 业 自己 仍 
需要 完成 许多 网 络 管理 任务 。 所 以 ， 一 个 完善 的 VPN 管理 系统 是 必 不 可 少 的 。VPN 管 
理 系 统 的 设计 目标 为 : 降低 网 络 风险 ， 在 设计 上 应 具有 高 扩展 性 、 经 济 性 和 高 可 靠 性 。 
事实 上 ，VPN 管理 系统 的 主要 功能 包括 安全 管理 、 设 备 管理 、 配 置 管理 、 访 问 控制 列表 
管理 、QoS 管理 等 内 容 。 


14.1.3 VPN 的 分 类 
根据 VPN 组 网 方式 .连接 方式 、 访 问 方式 、 隧道 协议 和 工作 层次 (OSI 模型 或 TCP/IP 
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模型 ) 的 不 同 , VPN 可 以 有 多 种 分 类 方法 。 根据 访问 方式 的 不 同 ,VPN 可 分 为 两 种 类 型 : 
一 种 是 移动 用 户 远程 访问 VPN 连接 : 另 一 种 是 网 关 - 网 关 VPN 连接 。 这 两 种 VPN 将 在 
本 节 中 做 简单 介绍 。 根 据 隧道 协议 及 工作 层次 分 类 的 VPN， 将 在 14.3 节 中 详细 阐述 。 

1. 远程 访问 VPN 

移动 用 户 远程 访问 VPN 连接 ， 由 远程 访问 的 客户 机 提出 连接 请 求 ，VPN 服务 器 提 
供 对 VPN 服务 器 或 整个 网 络 资源 的 访问 服务 。 在 此 连接 中 , 链 路 上 第 一 个 数据 包 总 是 F 
远程 访问 客户 机 发 出 。 远程 访 问 客户 机 先 向 VPN 服务 器 提供 自己 的 身份 , Za fe WRIA 
认证 的 第 二 步 ，VPN 服务 器 也 向 客户 机 提供 自己 的 身份 。 


2. 网 关 -网 关 VPN 

网 关 -网 关 VPN 连接 ， 由 呼叫 网 关 提 出 连接 请 求 ， 另 一 端的 VPN 网 关 做 出 响应 。 在 
这 种 方式 中 ， 链 路 的 两 端 分 别 是 专用 网 络 的 两 个 不 同 部 分 ， 来 自 呼 叫 网 关 的 数据 包 通常 
并 非 源 自 该 网 关 本 身 ， 而 是 来 自 其 内 网 的 子 网 主机 。 呼 叫 网 关 首先 向 应 答 网 关 提 供 自己 
的 身份 ， 作 为 双向 认证 的 第 二 步 ， 应 答 网 关 也 应 向 呼叫 网 关 提 供 自己 的 身份 。 

一 个 典型 VPN 的 组 成 如 图 14-1 所 示 。 


VPN 隧 道 VPN 连 接 
| eel 
baa ai VPN 容 户 端 


VPN 网 关 
(a) 移动 用 户 远程 访问 VPN 


VPN 隧 道 VPN 连 接 。 
-| 
| 
| 


VPN 关 
iad (b) 网 关 -网 关 VPN 连 接 MN 


图 14-1 典型 VPN 的 组 成 


14.1.4 VPN 关键 技术 


VPN 采用 多 种 技术 来 保证 安全 ， 这 些 技术 包括 隧道 技术 (Tunneling)、 加 /解密 
(Encryption & Decryption )、 密 钥 管 理 (Key Management )、 使 用 者 与 设备 身份 认证 
(CAuthentication)、 访 问 控制 (Access Control) 等 。 


1. 隧道 技术 

隧道 技术 是 VPN 的 基本 技术 ， 它 在 公用 网 上 建立 一 条 数据 通道 〈 隧 道 )， 让 数据 包 
通过 这 条 隧道 进行 传输 。 隧 道 是 由 隧道 协议 构建 的 ， 常 用 的 有 第 2、3 层 隧道 协议 。 第 2 
层 隧道 协议 首先 把 各 种 网 络 协议 封装 到 PPP 中 ， 再 把 整个 数据 包装 入 隧道 协议 中 。 这 种 
双 层 封装 方法 形成 的 数据 包 靠 第 2 层 协 议 进行 传输 。 第 2 层 隧道 协议 有 L2F、PPTP、L2TP 
等 。L2TP 是 由 PPTP 与 L2F 融合 而 成 ， 目 前 它 已 经 成 为 IETF 的 标准 。 

第 3 层 隧道 协议 把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ， 形 成 的 数据 包 依 靠 第 3 层 协 


























394 


ms 第 14 章 ， VPN 技术 mmm 


议 进行 传输 。 第 3 层 隧 道 协 议 有 GRE, VTP, IPSec 等 。IPSec (IP Security) 是 由 一 组 
RFC 文档 描述 的 安全 协议 ， 它 定义 了 一 个 系统 来 选择 VPN 所 用 的 密码 算法 ， 确 定 服 务 
所 使 用 密 钥 等 服务 ， 从 而 在 IP 层 提 供 安全 保障 。 


2. 加 /解密 技术 

在 VPN 应 用 中 ， 加 /解密 技术 是 将 认证 信息 、 通 信 数 据 等 由 明文 转换 为 密 文 的 相关 
技术 ， 其 可 靠 性 主要 取决 于 加 /解密 的 算法 及 强度 ， 这 部 分 内 容 在 密码 学 课程 中 有 详细 
介绍 。 


3. 密 钥 管理 技术 

密 钥 管理 的 主要 任务 是 保证 密 钥 在 公用 数据 网 上 安全 地 传递 而 不 被 窃取 。 现 行 的 密 
钥 管 理 技术 又 分 为 SKIP 与 ISAKMP/OAKLEY 两 种 。 SKIP 主要 利用 Diffie-Hellman #744 
分 配 协议 ， 使 通信 双方 建立 起 共享 密 钥 。 在 ISAKMP 中 ， 双 方 都 持 有 两 把 密 铀 ， 即 公 
钥 / 私 钥 对 ， 通 过 执行 相应 的 密 钥 交换 协议 而 建立 共享 密 钥 。 

4. 身份 认证 技术 

在 正式 的 隧道 连接 开始 之 前 ，VPN 需要 确认 用 户 的 身份 ， 以 便 系统 进一步 实施 资源 
访问 控制 或 对 用 户 授 权 。 

5. 访问 控制 

访问 控制 决定 了 谁 能 够 访问 系统 、 能 访问 系统 的 何 种 资源 及 如 何 使 用 这 些 资源 。 采 
取 适 当 的 访问 控制 措施 能 够 阻止 未 经 允许 的 用 户 有 意 或 无 意 地 获取 数据 ， 或 者 非法 访问 


442 ”隧道 协议 与 VPN 























通常 ， 隧 道 是 指 为 修建 公路 或 铁路 ， 挖 通 山 苑 而 形成 的 通道 。VPN 的 隧道 概念 指 的 
是 通过 一 个 公用 网 络 (通常 是 Internet) 建立 的 一 条 穿 过 公用 网 络 的 安全 的 、 罗 辑 上 的 隧 
道 。 在 隧道 中 ， 数 据 包 被 重新 封装 发 送 。 所 谓 封装 ， 就 是 在 原 IP 分 组 上 添加 新 的 报头 ， 
就 好 像 将 数据 包装 进 信封 一 样 。 因 此 ， 封 装 操作 也 称 为 卫 封装 化 。 总 部 和 分 公司 之 间 交 
流 信息 时 所 传递 的 数据 ， 经 过 VPN 设备 封装 后 通过 Internet 自动 发 往 对 方 的 VPN 设备 。 
这 种 在 VPN 设备 之 间 建 立 的 封装 化 数据 的 UP 通信 路 径 在 逻辑 上 被 称 为 隧道 。 发 端 VPN 
在 对 IP 数据 包 前 加 新 报头 封装 后 ， 将 封装 后 的 数据 包 通过 Internet 发 送 给 收 端 VPN。 收 
端 VPN 在 接收 到 封装 数据 包 后 ， 将 隧道 标 头 删除 ， 再 发 给 目标 主机 。 数 据 包 在 隧道 中 的 
封装 及 发 送 过 程 如 图 14-2 所 示 。 

隧道 封装 和 加 密 方式 多 种 多 样 。 一 般 来 说 , 只 对 数据 加 密 的 通信 路 径 不 能 称 为 隧道 。 
在 一 个 数据 包 上 再 添加 一 个 报头 才 称 做 封装 化 。 是 否 对 封装 的 数据 包 加 密 取 决 于 隧道 协 
议 。 例 如 ，IPSec 的 ESP 是 加 密封 装 化 协议 ， 而 L2TP 则 不 对 分 组 加 密 ， 保 持原 样 进 行 
封装 。 
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图 14-2 ”数据 包 在 隧道 中 的 封装 及 发 送 过 程 


现 有 的 封装 协议 主要 包括 两 类 : 一 类 是 第 2 层 的 隧道 协议 ， 由 于 隧道 协议 是 对 数据 
链 路 层 的 数据 包 进 行 封 装 〈 即 OSI 开放 系统 互 连 模型 中 第 2 层 的 数据 包 )， 所 以 称 其 为 
第 2 层 隧 道 协议 ， 这 类 协议 包括 PPTP、L2TP、L2F 等 ， 主 要 用 于 构建 远程 访问 VPN; 
另 一 类 是 第 3 层 隧道 协议 ， 如 IPSec, GRE 等 ， 它 们 把 网 络 层 的 各 种 协议 数据 包 直 接 封 
装 到 隧道 协议 中 进行 传输 ， 由 于 被 封装 的 是 第 3 层 的 网 络 协议 数据 包 ， 所 以 称 为 第 3 层 
隧道 协议 ， 它 主要 用 于 构建 LAN-to-LAN 型 的 VPN。 


14.2.1 第 2 层 隧道 协议 


第 2 层 隧道 协议 主要 有 3 个 : 一 个 是 由 微软 、Asend、3COM 等 公司 支持 的 点 对 点 
隧道 协议 (Point to Point Tunneling Protocol, PPTP); 另 一 个 是 Cisco, Nortel 等 公司 支持 
的 第 2 层 转发 (Layer 2 Forwarding, L2F) 协议 ; 第 三 个 是 由 IETF 起 草 ， 微 软 、Cisco、 
3COM 等 公司 共同 制定 的 第 2 层 隧道 协议 (Layer 2 Tunneling Protocol，L2TP)， 该 协议 
结合 了 以 上 两 个 协议 的 优点 。 下 面 对 这 3 个 协议 进行 简要 介绍 。 

1. PPTP 

PPTP 是 一 种 用 于 让 远程 用 户 拨号 连接 到 本 地 ISP、 通 过 Internet 安全 远程 访问 公司 
网 络 资源 的 新 技术 。PPTP 对 PPP 本 身 并 没有 做 任何 修改 ， 只 是 使 用 PPP 拨号 连接 ， 然 
后 获取 这 些 PPP 包 ， 并 把 它们 封装 进 GRE 头 中 。PPTP 使 用 PPP 的 PAP 或 CHAP 
(MS-CHAP) 进行 认证 ， 另 外 也 支持 Microsoft 公司 的 点 到 点 加 密 技术 (MPPE) 。PPTP 
支持 的 是 一 种 Client-LAN 型 隧道 的 VPN 实现 。 

PPTP 具有 两 种 不 同 的 工作 模式 ， 即 被 动 模式 和 主动 模式 。 被 动 模式 的 PPTP 会 话 通 
过 一 个 一 般 位 于 ISP 处 的 前 端 处 理 器 发 起 ， 在 客户 端 不 需要 安装 任何 与 PPTP 有 关 的 软 
件 。 在 拨号 连接 到 ISP 的 过 程 中 ，ISP 为 用 户 提供 所 有 相应 的 服务 和 帮助 。 被 动 方式 的 
优点 是 降低 了 对 客户 的 要 求 ， 缺 点 是 限制 了 客户 对 Internet 其 他 部 分 的 访问 。 
主动 方式 是 由 客户 建立 一 个 与 网 络 另 外 一 端 服务 器 直接 连接 的 PPTP 隧道 ， 这 种 方 
式 不 需要 ISP 的 参与 ， 不 再 需要 位 于 ISP 处 的 前 端 处 理 器 ，ISP 只 提供 透明 的 传输 通道 。 
这 种 方式 的 优点 是 客户 拥有 对 PPTP 的 绝对 控制 : 缺点 是 对 用 户 的 要 求 较 高 ， 并 需要 在 
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客户 端 安装 支持 PPTP 的 相应 软件 。 

通过 PPTP， 远 程 用 户 经 由 Internet 访问 企业 的 网 络 和 应 用 ， 而 不 再 需要 直接 拨号 至 
企业 的 网 络 。 这 样 大 大 地 减少 了 建立 和 维护 专用 远程 线路 的 费用 ， 同 时 也 为 企业 提供 了 
充分 的 安全 保证 。 另 外 ，PPTP 还 在 IP 网 络 中 支持 卫 HN. PPTP “PR” K IP, IPX, 
APPLE-TALK 等 协议 封装 在 IP 包 中 ， 使 用 户 能 够 运行 基于 特定 网 络 协议 的 应 用 程序 。 
同时 ，“ 隧 道 ” 采 用 现 有 的 安全 检测 和 认证 策略 ， 还 允许 管理 员 和 用 户 对 数据 进行 加 密 ， 
使 数据 更 加 安全 。PPTP 还 提供 灵活 的 IP 地 址 管理 。 如 果 企业 专用 网 络 使 用 未 经 注册 的 
JP 地址 ， 那 么 PNS 将 把 此 地 址 和 企业 专用 地 址 联系 起 来 。 

PPTP 是 为 中 小 企业 提供 的 VPN 解决 方案 , 但 此 协议 在 实现 上 存在 着 重大 安全 隐患 。 
有 研究 表明 其 安全 性 甚至 比 PPP 还 要 弱 ， 因 此 不 适用 于 对 安全 性 需求 很 高 的 通信 。 如 果 
条 件 允 许 ， 用 户 最 好 选择 完全 能 够 替代 PPTP 的 下 一 代 二 层 协议 L2TP。 

2. L2F 

L2F 协议 由 Cisco 公司 在 1998 年 5 月 提交 给 IETF, RFC2341 对 L2F 有 详细 的 曾 述 。 
L2F 可 以 在 多 种 介质 (如 AMT. WPA, IP) 上 建立 多 协议 的 安全 虚拟 专用 网 ， 它 将 
链 路 层 的 协议 〈 如 HDLC, PPP, ASYNC 等 ) 封装 起 来 传送 。 因 此 ， 网 络 的 链 路 层 完全 
独立 于 用 户 的 链 路 层 协议 。L2F 远程 用 户 能 够 通过 任何 拨号 方式 接 入 公共 IP 网 络 。 首先 ， 
按 常规 方式 拨号 到 ISP 的 接 入 服务 器 (NAS)， 建 立 PPP EHR; 然后 ，NAS 根据 用 户 名 
等 信息 ， 发 起 第 二 重 连接 ， 呼 叫 用 户 网 络 的 服务 器 。 在 这 种 方式 下 ， 隧 道 的 建立 和 配置 
对 用 户 是 完全 透明 的 。L2F 允许 拨号 接 入 服务 器 发 送 PPP 帧 , 并 通过 WAN 连接 到 达 L2F 
服务 器 。L2F 服务 器 将 包 解 封装 后 ， 把 远程 用 户 接 入 到 公司 自己 的 网 络 中 。 

3. L2TP 

L2TP 的 前 身 是 Microsoft 公司 的 点 到 点 隧道 协议 (PPTP) 和 Cisco 公司 的 二 层 转发 
(L2F) 协议 。PPTP 是 为 中 小 企业 提供 的 VPN 解决 方案 ， 但 此 协议 在 安全 性 上 存在 着 重 
大 隐患 。L2F 协议 是 一 种 安全 通信 隧道 协议 ， 它 的 主要 缺陷 是 没有 把 标准 加 密 算法 定义 
在 内 ， 因 此 它 已 成 为 过 时 的 隧道 协议 。IETF 的 开放 标准 L2TP 结合 了 PPTP 和 L2F 协议 
的 优点 ， 特 别 适 合 组 建 远程 接 入 方式 的 VPN， 因 此 已 经 成 为 事实 上 的 工业 标准 。 

远程 拨号 的 用 户 通过 本 地 PSTN. ISDN EÈ PLMN 拨号 ， 利 用 ISP 提供 的 VPDN 特 
ARS, BEA ISP 在 当地 的 接 入 服务 器 (NAS)。NAS 通过 当地 的 VPDN 管理 系统 (如 认 
证 系统 ) 对 用 户 身份 进行 认证 ， 并 获得 用 户 对 应 的 企业 安全 网 关 CPE) 的 隧道 属性 (如 
企业 网 关 的 TP 地址 等 )。 NAS 根据 获得 的 这 些 信息 , 采用 适当 的 隧道 协议 封装 上 层 协 议 ， 
建立 一 个 位 于 NAS 和 LNS (本 地 网 络 服务 器 ) 之 间 的 虚拟 专 网 。 

第 2 层 隧道 协议 具有 简单 易 行 的 优点 ， 但 是 它们 的 可 扩展 性 都 不 好 。 更 重要 的 是 ， 
它们 没有 提供 内 在 的 安全 机 制 ， 不 能 支持 企业 和 企业 的 外 部 客户 及 供应 商 之 间 会 话 的 保 
密 性 需求 。 因 此 ， 当 企业 欲 将 其 内 部 网 与 外 部 客户 及 供应 商 网 络 相 连 时 ， 第 2 层 隧道 协 
议 不 支持 构建 企业 外 域 网 (Extranet)。Extranet 需要 对 隧道 进行 加 密 并 需要 相应 的 密 钥 管 
理 机 制 。 


























397 


mm 网 络 安全 -一 技术 与 实践 (第 3 版 ) mm 


1422 第 3 层 隧道 协议 


第 3 层 隧道 协议 主要 包括 IPSec. GRE (Generic Routing Encapsulation) 和 多 协议 标 
记 交 换 (Multiprotocol Label Switching, MPLS) 技术 。 由 这 3 种 协议 和 技术 构建 的 VPN 
分 别称 为 IPSec VPN. GRE VPN 和 MPLS VPN. 

下 面 分 别 对 这 3 种 VPN 协议 和 技术 做 简要 介绍 。 

1. IPSec 

IPSec 是 专 为 IP 设计 提供 安全 服务 的 一 种 协议 〈 其 实 是 一 种 协议 族 )。IPSec 可 有 效 
保护 IP 数据 报 的 安全 ， 有 具体 保护 形式 包括 数据 源 验证 、 无 连接 数据 的 完整 性 验证 、 数 据 
内 容 的 机 密 性 保护 、 抗 重 放 保护 等 。 

IPSec 主要 由 AH GEK), ESP (封装 安全 载荷 )、IKE internet 密 钥 交换 ) 3 个 
协议 组 成 。IPSec 协议 既 能 用 于 点 对 点 连接 型 YPN， 也 可 以 用 于 远程 访问 型 VPN. 

在 14.3 节 中 ， 将 对 IPSec VPN 进行 深入 讨论 。 

2. GRE 

通用 路 由 协议 封装 (GRE) 是 由 Cisco 和 NetSmiths 等 公司 于 1994 年 提交 给 IETF 
的 协议 , 标号 为 RFC1701 和 RFC1702。 目前 多 数 厂 商 的 网 络 设备 均 支 持 GER 隧道 协议 。 

GRE 规定 了 如 何 用 一 种 网 络 协议 去 封装 另 一 种 网 络 协议 的 方法 .GRE 隧道 由 两 端的 
源 IP 和 目的 耳 来 定义 ， 允 许 用户 使 用 耳 包 封装 IP. IPX, AppleTalk 包 ， 并 支持 全 部 路 
由 协议 (如 RIP2、.OSPF 等 ). 通 过 GRE, 用 户 可 以 利用 公共 耳 网 络 连接 IPX [ZR AppleTalk 
网 络 ， 还 可 以 使 用 保留 地 址 进行 网 络 互 连 ， 或 者 对 公 网 隐藏 企业 网 的 IP 地 址 。GRE 只 
提供 数据 包 的 封装 ， 并 没有 采用 加 密 功能 来 防止 网 络 侦 听 和 攻击 ， 所 以 在 实际 环境 中 经 
常 与 IPSec 一 起 使 用 ， 由 IPSec 提供 用 户 数据 的 加 密 ， 从 而 给 用 户 提供 更 好 的 安全 性 。 
GRE 的 实施 策略 及 网 络 结构 与 IPSec 非常 相似 ， 只 要 网 络 边缘 的 接 入 设备 支持 GRE 协 
议 即 可 。 

3. MPLS 

MPLS 属于 第 3 层 交 换 技术 ， 引 入 了 基于 标记 的 机 制 。 它 把 选 路 和 转发 分 开 ， 用 标 
签 来 规定 一 个 分 组 通过 网 络 的 路 径 。MPLS 网 络 由 核心 部 分 的 标签 交换 路 由 器 (LSR) 
和 边缘 部 分 的 标签 边缘 路 由 器 (LER) 组 成 。 

MPLS 为 每 个 IP 包 加 上 一 个 固定 长 度 的 标签 ， 并 根据 标签 值 转发 数据 包 。MPLS K 
际 上 就 是 一 种 隧道 技术 ， 所 以 使 用 它 来 建立 VPN 隧道 十 分 容易 。 同 时 ，MPLS 是 一 种 完 
备 的 网 络 技术 ， 可 以 用 来 建立 VPN 成 员 之 间 简 单 而 高 效 的 VPN. MPLS VPN 适用 于 实 
现 对 服务 质量 、 服 务 等 级 的 划分 及 网 络 资源 的 利用 率 、 网 络 的 可 靠 性 有 较 高 要 求 的 VPN 
业务 。 

CE 路 由 器 用 于 将 一 个 用 户 站 点 接 入 服务 提供 者 网 络 的 用 户 边缘 路 由 器 。CE 路 由 器 
不 使 用 MPLS， 它 可 以 只 是 一 台 IP 路 由 器 。CE 不 必 支 持 任何 VPN 的 特定 路 由 协议 或 

PE 路 由 器 是 与 用 户 CE 路 由 器 相连 的 服务 提供 者 边缘 路 由 器 .PE 实际 上 就 是 MPLS 





















































398 


me 第 14 章 VPN 技 术 ea 


中 的 边缘 标记 交换 路 由 器 (LER)， 能 够 支持 BGP、 一 种 或 儿 种 IGP 路 由 协议 及 MPLS 
协议 ， 能 够 执行 IP 包 检查 、 协 议 转换 等 功能 。 

用 户 站 点 指 这 样 一 组 网 络 或 子 网 ， 它 们 是 用 户 网 络 的 一 部 分 ， 并 且 通 过 一 条 或 多 条 
PE/CE 链 路 接 至 VPN. 一 组 共享 相同 路 由 信息 的 站 点 就 构成 了 VPN。 一 个 站 点 可 以 同时 
位 于 不 同 的 儿 个 VPN 之 中 。 

从 MPLS VPN 网 络 的 结构 可 以 看 到 ， 与 前 几 种 VPN 技术 不 同 ，MPLS VPN 网 络 中 
的 主角 虽然 仍然 是 边缘 路 由 器 (此 时 是 MPLS 网 络 的 边缘 LSR)， 但 是 它 需 要 公共 IP 网 
内 部 的 所 有 相关 路 由 都 能 够 支持 MPLS， 所 以 这 种 技术 对 网 络 有 特殊 的 要 求 。 

VPN 有 多 种 类 型 , 本 书 将 主要 讨论 IPSec VPN, PPTP VPN, SSL VPN 和 MPLS VPN. 
SSL VPN 也 称 做 传输 层 安全 (Transport Layer Security, TLS) 协议 VPN。 之 所 以 讨论 这 
些 VPN, 是 因为 它们 的 应 用 最 为 广泛 ,由 于 PPTP VPN 和 MPLS VPN 的 安全 性 相对 较 低 ， 
所 以 这 里 将 重点 讨论 IPSec VPN 和 TLS VPN， 而 对 PPTP VPN 和 MPLS VPN 原理 只 做 
简要 的 曾 述 。 


143 IPSec VPN 








14.3.1 IPSec 协议 概述 


IPSec 在 IPv6 的 制定 过 程 中 产生 ， 用 于 提供 IP 层 的 安全 性 。 由 于 所 有 支持 TCP/IP 
的 主机 在 进行 通信 时 都 要 经 过 IP 层 的 处 理 ， 所 以 提供 了 IP 层 的 安全 性 就 相当 于 为 整个 
网 络 提供 了 安全 通信 的 基础 。 鉴 于 IPv4 的 应 用 仍然 很 广泛 ， 所 以 后 来 在 IPSec 的 制定 中 
也 增添 了 对 IPv4 的 支持 。 
IPSec 标准 最 初 由 IETF 于 1995 年 制定 , 但 由 于 其 中 存在 一 些 未 解决 的 问题 , 从 1997 
年 开始 IETF 又 开展 了 新 一 轮 的 IPSec 标准 的 制定 工作 ，1998 年 11 月 ， 主 要 协议 已 经 基 
本 制定 完成 。 由 于 这 组 新 的 协议 仍然 存在 一 些 问题 ，IETF 将 来 还 会 对 其 进行 修订 。 
IPSec 所 涉及 的 一 系列 RFC 标准 文档 如 下 。 
RFC2401: IPSec 系统 结构 。 
RFC2402: 认证 首部 协议 (AH)。 
RFC2406: 封装 净 答 安全 协议 (ESP)。 
RFC2408: Internet 安全 联盟 和 密 钥 管理 协议 (ISAKMP )。 
RFC2409: Internet 密 钥 交换 协议 (IKE)。 
RFC2764: 基本 框架 文档 。 
RFC2631: Diffie-Hellman 密 钥 协商 方案 。 
SKEME. 
在 后 面 的 讨论 中 ， 重 点 将 放 在 ESP 的 保密 性 和 完整 性 方面 。 
IPSec 协议 由 AH 和 ESP 提供 了 两 种 工作 模式 (注意 ， 切 勿 将 它们 和 下 文 要 讨论 的 
ISAKMP 模式 相 混 淆 )， 如 图 14-3 所 示 。 这 两 个 协议 可 以 组 合 起 来 使 用 ， 也 可 以 单独 使 
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用 AH 或 ESP， 还 可 以 同时 使 用 AH 和 ESP. IPSec 的 功能 和 模式 如 表 14-1 所 示 。 






















































































传 输 模 式 隧道 模式 
AH 认证 TCP 、UDP 或 ICMP 首 部 和 数据 认证 IP 首 部 和 数据 
由 AH 认证 由 AH 认证 
P | AH | Ree | Ae 新 的 IP| AH [AKSP] TCP | 用 户 
首部 首部 | 数据 首部 首部 | 首部 | 数据 
ESP 封装 TCP 、UDP 或 ICMP 首 部 和 数据 封装 IP 首 部 和 数据 
由 ESP 封 装 ln 由 ESP 封 装 
IP | pgp | LCP | HA | ESP | ESP | | | 新 的 IP| scp。| 旧 的 P| TCP | 用 户 | ESP | ESP 
首部 首部 | 数据 | trir | auth 首部 首部 | 首部 | 数据 | trir | auth 
| ESP auth 认 证 „| Ls. 由 ESP auth 认 证 = 























图 14-3 IPSec 协议 的 构成 


AH、ESP 或 AH+ESP 既 可 以 在 隧道 模式 中 使 用 ， 又 可 以 在 传输 模式 中 使 用 。 隧 道 
模式 在 两 个 IP 子 网 之 间 建 立 一 个 安全 通道 , 允许 每 个 子 网 中 的 所 有 主机 用 户 访问 对 方 子 
网 中 的 所 有 服务 和 主机 。 传 输 模 式 在 两 个 主机 之 间 以 端 对 端的 方法 提供 安全 通道 ， 并 且 
在 整个 通信 路 径 的 建立 和 数据 的 传递 过 程 中 采用 了 身份 认证 、 数 据 保密 性 和 数据 完整 性 等 安 
全 保护 措施 。 

表 14-1 IPSec 的 功能 和 模式 


功能 /模式 封装 安全 负荷 (ESP) ESP+AH 





访问 控制 Yes 
认证 Yes 
消息 完整 性 Yes 
重 放 保护 Yes 
机 密 性 Yes 


14.3.2 IPSec 的 工作 原理 


IPSec 的 工作 原理 类 似 于 包 过 滤 防 火 墙 ， 可 以 把 它 看 做 是 包 过 滤 防 火 墙 的 一 种 扩展 。 
我 们 知道 ， 防 火 墙 在 接收 到 一 个 卫 数据 包 时 ， 它 就 在 规则 表 中 查找 是 否 有 与 数据 包 的 头 
部 相 匹配 的 规则 。 当 找到 一 个 相 匹配 的 规则 时 ， 包 过 滤 防 火 墙 就 按照 该 规则 的 要 求 对 接 
收 到 的 IP 数据 包 进 行 处 理 : 丢弃 或 转发 。 

IPSec 通过 查询 安全 策略 数据 库 (Security Policy Database, SPD) 决定 如 何 对 接收 
到 的 IP 数据 包 进 行 处 理 。 但 是 IPSec 与 包 过 滤 防 火 墙 不 同 ， 它 对 IP 数据 包 的 处 理 方法 
除了 丢弃 和 直接 转发 ( 绕 过 IPSec) 外 ， 还 可 以 对 数据 包 进行 IPSec 处 理 。 正 是 这 种 新 增 
添 的 处 理 方法 ， 使 VPN 提供 了 比 包 过 滤 防 火 墙 更 高 的 安全 性 。 

进行 IPSec 处 理 意味 着 对 IP 数据 包 进 行 加 密 和 认证 。 包 过 滤 防 火 墙 上 只 能 控制 来 自 或 
去 往 某 个 站 点 的 IP 数据 包 的 通过 ， 即 它 可 以 拒绝 来 自 某 个 外 部 站 点 的 卫 数据 包 访 问 内 
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部 网 络 资源 ， 也 可 以 拒绝 某 个 内 部 网 络 用 户 访问 某 些 外 部 网 站 。 但 是 包 过 滤 防 火 墙 不 能 
保证 自 内 部 网 络 发 出 的 数据 包 不 被 截取 ， 也 不 能 保证 进入 内 部 网 络 的 数据 包 未 经 算 改 。 
只 有 在 对 IP 数据 包 实 施 了 加 密 和 认证 后 ,才能 保证 在 公用 网 络 上 传输 数据 的 机 密 性 、 认 
IPSec 既 可 以 对 IP 数据 包 只 进行 加 密 或 认证 ， 也 可 以 同时 实施 加 密 和 认证 。 但 无 论 
是 进行 加 密 还 是 进行 认证 ，IPSec 都 有 两 种 工作 模式 : 一 种 是 传输 模式 ， 另 一 种 是 隧道 
模式 。 
采用 传输 模式 时 ，IPSec 只 对 IP 数据 包 的 净 荷 进行 加 密 或 认证 。 此 时 ， 封 装 数据 包 
继续 使 用 原 IP 头 部 ， 只 对 IP 头 部 的 部 分 域 进行 修改 ， 而 IPSec 协议 头 部 插入 到 原 IP k 
部 和 传输 层 头 部 之 间 。IPSec 传输 模式 如 图 14-4 和 图 14-5 所 示 。 
原 p 头 “| TCPUDP 头 | 数据 内 容 
al 








2 eet 1 1 
[ mek ESE | TCPUDp 类 | 数据 内 容 | ESE 
图 14-4 ”传输 模式 的 ESP 封装 示意 图 


原 IP 头 | Toruna 数据 内 容 
































原 IP 头 AH 头 TCP/UDP 头 数据 内 容 
图 14-5 ”传输 模式 的 AH 封装 示意 图 
采用 隧道 模式 时 ，IPSec 对 整个 IP 数据 包 进 行 加 密 或 认证 。 此 时 ， 需 要 产生 一 个 新 
的 IP 头 ，IPSec 头 被 放 在 新 产生 的 IP 头 和 原 P 数据 包 之 间 ， 从 而 组 成 一 个 新 的 IP ko 
IPSec 隧道 模式 如 图 14-6 和 图 14-7 所 示 。 
[mp | TCP/UDP | 数据 内 容 ] 


[PSP] ex. | TCP/VDP 头 | 数据 内 容 ESPE | 
图 14-6 IPSec 隧道 模式 的 ESP 封装 示意 图 
原 IP 头 TCP/UDP. | 数据 内 容 















































HIPH AH 原 IP 头 “| TCP/UDP, | 数据 内 容 
图 14-7 IPSec 隧道 模式 的 AH 封装 示意 图 





14.3.3 IPSec 中 的 主要 协议 


前 面 已 经 提 到 IPSec 的 主要 功能 为 加 密 和 认证 。 为 了 进行 加 密 和 认证 , IPSec 还 需要 
有 密 钥 的 管理 和 交换 功能 ， 以 便 为 加 密 和 认证 提供 所 需要 的 密 钥 并 对 密 钥 的 使 用 进行 管 
理 。 以 上 3 方面 的 工作 分 别 由 AH、ESP 和 IKE 3 个 协议 来 实现 。 为 了 介绍 这 3 个 协议 ， 
需要 先 引 入 一 个 非常 重要 的 术语 一 一 安全 关联 (Security Association，SA)。 所 谓 安全 关 
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联 ， 是 指 安全 服务 与 它 服务 的 载体 之 间 的 一 个 “连接 ”， 文 中 还 会 详细 讨论 SA. AH 和 
ESP 的 实现 都 需要 SA 的 支持 ， 而 IKE 的 主要 功能 就 是 建立 和 维护 SA。 

如 果 要 用 IPSec 建立 一 条 安全 的 传输 通路 ， 通 信 双 方 需要 事先 协商 好 将 要 采用 的 安 
全 策略 ， 包 括 使 用 的 加 密 算法 、 密 钥 、 密 钥 的 生存 期 等 。 当 双方 协商 好 使 用 的 安全 策略 
后 ， 通 常 就 说 双方 建立 了 一 个 SA。 给 定 了 一 个 SA， 就 确定 了 IPSec 要 执行 的 处 理 ， 如 
加 密 、 认 证 等 。 

1. AH (Authentication Header) 

RFC2402 的 作者 设计 了 AH 协议 来 防御 中 间 人 攻击 。RFC2402 对 AH 协议 进行 了 极 
为 详细 的 定义 ， 将 AH 服务 定义 如 下 : 

o 非 连 接 的 数据 完整 性 校 验 。 

o 数据 源 点 认证 。 

e 可 选 的 抗 重 放 服务 。 

AH 有 两 种 实现 方式 : 传输 方式 和 隧道 方式 ， 如 图 14-5 和 图 14-7 所 示 。 当 AH 以 传 
输 方式 实现 时 ， 它 主要 提供 对 高 层 协议 的 保护 ， 因 为 高 层 的 数据 不 进行 加 密 。 当 AH 以 
隧道 方式 实现 时 ， 协 议 被 应 用 于 通过 隧道 的 卫 数据 包 。 

AH 只 涉及 认证 , 不 涉及 加 密 。AH 虽然 在 功能 上 与 ESP 有 重复 之 处 , 但 AH 除了 可 
以 对 IP 的 净 荷 进行 认证 外 ， 还 可 以 对 IP 头 实施 认证 ， 而 ESP 的 认证 功能 主要 是 面向 IP 
的 净 荷 。 为 了 提供 最 基本 的 功能 并 保证 互 操作 性 , AH 必须 提供 对 HMAC SHA 和 HMAC 
MD-5 (HMAC 是 由 杂凑 函数 SHA 和 MD-5 构造 的 消息 认证 码 ) 的 支持 。 

AH 的 长 度 是 可 变 的 ， 但 必须 是 32b 数据 报 长 
度 的 倍数 。AH 域 被 细 分 为 几 个子 域 ， 其 中 包含 为 
高 屋 域 IP 数据 包 提 供 密码 保护 所 需 的 数据 ， 如 图 14-8 
所 示 。 

数据 源 点 认证 是 IPSec 的 强制 性 服务 ， 它 实际 
下 一 个 头 | 载荷 长 度 保留 以 后 使 用 上 提供 了 对 源 点 身份 数据 的 完整 性 保护 。 提供 该 保 











IP 数 据 包 中 被 加 密 保护 的 部 分 
ph ~~ 





























8b 8b à 
= T ED 32b) 护 所 需 的 数据 包含 在 AH 的 两 个 子 域 中 , 一 个 子 域 
序列 号 域 (32b) 称 为 “安全 参数 索引 ”(Security Parameters Index, 
认证 数据 (32b 分 组 的 倍数 ) SPI), 包含 长 32b 的 某 个 任意 值 ， 用 于 唯一 标识 该 
图 14-8 ”认证 头 的 结构 及 其 在 IP IP 数据 包 认证 服务 所 采用 的 密码 算法 ; 另 一 个 子 域 
数据 包 中 的 位 置 称 为 “认证 数据 ?， 包 含 消息 发 送 方 为 接收 方 生 成 


的 认证 数据 ， 用 于 接收 方 进行 数据 完整 性 验证 ， 因 
此 这 部 分 数据 也 被 称 为 完整 性 校 验 值 (Integrity Check Value，ICV)。 该 卫 数据 包 的 接收 
方 能 够 使 用 密 钥 和 SPI 所 标识 的 算法 重新 生成 “认证 数据 ”， 然 后 将 其 与 接收 到 的 “认证 
数据 ” 相 比 较 ， 从 而 完成 ICV 校 验 。 
AH 还 有 一 个 “序列 号 ” 子 域 ， 用 来 抵御 卫 数据 包 重 放 攻 击 。AH 的 其 他 子 域 ( 包 
括 “ 下 一 个 头 ”、“ 载 荷 长 度 ” 和 “保留 以 后 使 用 ”) 都 没有 安全 方面 的 意义 ， 因 此 这 里 不 
对 它们 进行 讨论 。 
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2. ESP 

ESP (Encapsulating Security Payload) 协议 主要 用 于 对 IP 数据 包 进 行 加 密 ， 此 外 也 
对 认证 提供 某 种 程度 的 支持 。ESP 独立 于 具体 的 加 密 算法 ， 儿 乎 可 以 支持 各 种 对 称 密 钥 
加 密 算法 ， 如 DES、TripleDES 和 RCS 等 。 为 了 保证 各 种 IPSec 实现 之 间 的 互 操作 性 ， 
目前 要 求 ESP 必须 支持 56b 密 钥 长 度 的 DES 算法 。 

ESP 的 格式 如 图 14-9 所 示 。ESP 协议 数据 单元 格式 由 3 部 分 组 成 ， 除 了 头 部 、 加 密 
数据 部 分 外 ， 在 实施 认证 时 还 包含 一 个 可 选 尾部 。 头 部 有 两 个 域 : 安全 参数 索引 SPD 
和 序列 号 〈Sequence Number) 域 。 使 用 ESP 进行 安全 通信 之 前 ， 通 信 双 方 需要 先 协商 
好 一 组 将 要 采用 的 加 密 策略 ， 包 括 所 使 用 的 加 密 算法 、 密 钥 及 密 钥 的 有 效 期 等 。SPI 用 
来 标识 发 送 方 在 处 理 IP 数据 包 时 使 用 了 哪 组 加 密 策略 , 当 接 收 方 看 到 了 这 个 标识 后 就 和 
道 如 何 处 理 收 到 的 IP 数据 包 。“ 序 列 号 ”用 来 区 分 使 用 同一 组 加 密 策略 的 不 同 数据 包 。 
被 加 密 的 数据 部 分 除了 包含 原 IP 数据 包 的 净 荷 外 ,还 包括 填充 数据 。 填 充 数据 是 为 了 保 
证 加 密 数 据 部 分 的 长 度 满 足 分 组 加 密 算法 的 要 求 。 这 两 部 分 数据 在 传输 时 都 要 进行 加 密 。 
“下 一 个 头 ”(Next Header) 用 来 标识 净 荷 部 分 所 使 用 的 协议 , 它 可 能 是 传输 层 协议 CTCP 
或 UDP)， 也 可 能 是 IPSec 协议 (ESP Bk AH). 

前 面 已 经 提 到 ，IPSec 有 两 种 工作 模式 ， 这 意味 着 ESP 协议 也 有 两 种 工作 模式 ， 传 
fais (Transport Mode) 和 隧道 模式 (Tunnel Mode). “4 ESP 工作 于 传输 模式 时 ， 封 装 
包头 部 采用 当前 的 IP 头 部 。 在 ESP 工作 于 隧道 模式 时 ，IPSec 将 整个 IP 数据 包 进 行 加 
密 作为 ESP 净 荷 , 并 在 ESP 头 部 前 增添 以 网 关 地 址 为 源 地 址 的 新 的 IP 头 部 ， 此 时 IPSec 
可 以 起 到 NAT 的 作用 。 








安全 参数 索引 (SPL 32b) 
序列 号 域 (32b) 

载荷 数据 (32b 分 组 的 倍数 ) 
填充 数据 (0~255B) 























填充 长 度 (8b) | 下 一 个 头 (8b) 











认证 数据 (32b 分 组 的 倍数 ) 
图 14-9 ESP 的 格式 





3. IKE 

Internet 密 钥 交换 协议 (Internet Key Exchange, IKE ) 用 于 动态 建立 安全 关联 (Security 
Association, SA). H RFC2409 描述 的 IKE 属于 一 种 混合 型 协议 。 它 汲取 了 ISAKMP, 
Oakley 密 钥 确 定 协议 及 SKEME 的 共享 密 钥 更 新 技术 的 精华 ， 从 而 设计 出 独一无二 的 密 
钥 协 商 和 动态 密 钥 更 新 协议 。 此 外 ，IKE 还 定义 了 两 种 密 钥 交换 方式 。IKE 使 用 两 个 阶 
段 的 ISAKMP: 在 第 一 阶段 ， 通 信 各 方 彼此 间 建 立 一 个 已 通过 身份 验证 和 安全 保护 的 通 
道 ， 即 建立 IKE 安全 关联 ; 在 第 二 阶段 ， 利 用 这 个 既定 的 安全 关联 为 IPSec 建立 安全 通 
道 。IKE 图 解 如 图 14-10 所 示 。 
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ISAKMP 一 一 密 钥 管理 框架 
一 一 指示 实现 使 用 的 UDP ui 


C 


IkE 一 协议 使 用 UDP 500 端 口 一 - + T 
























































二 -二 协议 通信 
图 14-10 IKE 图 解 

IKE 定义 了 两 个 阶段 :阶段 1 交换 和 阶段 2 交换 。Oakley 定义 了 3 种 模式 ， 分 别 对 
M ISAKMP 的 3 个 阶段 : 快速 模式 、 主 模式 和 野蛮 模式 。 在 阶段 1 交换 ，IKE 采用 的 是 
身份 保护 交换 〈“ 主 模式 ”交换 )， 以 及 根据 ISAKMP 文档 制定 的 “野蛮 模式 ”交换 ， 在 
阶段 2 204%, IKE 则 采用 了 一 种 “快速 模式 ”交换 。 

ISAKMP 通过 IKE 对 以 下 儿 种 密 钥 交 换 机 制 提 供 支持 : 

o 预 共享 密 钥 (PSK). 

e 公 钥 基础 设施 (PKI)。 

e IPSec 实体 身份 的 第 三 方 证 书 。 

不 难 理解 ， 预 共享 密 钥 (Preshared Secret Key, PSK) 机 制 实质 上 是 一 种 简单 的 口令 
方法 。 在 IPSec VPN 网 关上 预 设 常量 字符 串 ， 通 信 双 方 据 此 共享 秘密 实现 相互 认证 。 而 
采用 PKI 和 数字 证 书 的 认证 方式 在 第 9 章 中 已 经 做 了 详细 介绍 。 

AZ, IKE 可 以 动态 地 建立 安全 关联 和 共享 密 钥 。IKE 建立 安全 关联 的 实现 极为 复 
杂 。 从 一 方面 看 ， 它 是 IPSec 协议 实现 的 核心 ， 从 另 一 方面 看 ， 它 也 很 可 能 成 为 整个 系 
统 的 瓶颈 。 进 一 步 优化 IKE 程序 和 密码 算法 是 实现 IPSec 的 核心 问题 之 一 。 


143.4 ”安全 关联 


IPSec 的 中 心 概念 之 一 是 “安全 关联 ”(Security Association，SA )。 从 本 质 上 讲 , IPSec 
可 被 视 为 AH+ESP。 当 两 个 网 络 节点 在 IPSec 保护 下 通信 时 ， 它 们 必须 协商 一 个 SA 用 
于 认证 ) 或 两 个 SA“〈 分 别 用 于 认证 和 加 密 )， 并 协商 这 两 个 节点 间 所 共享 的 会 话 密 钥 以 
便 它们 能 够 执行 加 密 操 作 。 要 在 两 个 安全 网 关 之 间 建立 安全 双 工 通信 ， 需 要 为 每 个 方向 
建立 一 个 SA。 在 IPSec 当前 的 实现 方案 中 ，SA 管理 机 制 只 定义 了 单一 特性 的 SA。 这 意 
味 着 当前 的 SA 只 能 建立 点 到 点 的 通信 。 在 未 来 ， 增 强 功 能 将 会 支持 点 到 点 及 一 点 到 多 

每 个 SA 的 标识 由 3 部 分 组 成 : 

e 安全 性 参数 索引 ， 即 SPI. 
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o IP 目的 地 址 。 

o 安全 协议 标识 ， 即 AH EÈ ESP. 

如 前 所 述 ，SA 有 两 种 模式 ， 即 传输 模式 和 隧道 模式 。 传 输 模式 下 的 SA 是 两 个 主机 
间 的 安全 关联 ， 隧 道 模 式 下 的 SA 只 适用 于 IP 隧道 。 如 果 在 两 个 安全 网 关 之 间 或 一 个 安 
全 网 关 和 一 个 主机 之 间 建 立 安全 关联 ， 那 么 此 SA 必须 使 用 隧道 模式 。 

当然 ， 也 可 以 将 不 同 的 SA 组 合 起 来 使 用 ， 以 提供 多 层次 的 安全 性 或 封装 能 力 。 当 
对 SA 进行 组 合 时 ， 称 组 合 结果 为 一 个 SA 束 。 此 时 ，IPSec 在 对 传输 数据 进行 处 理 时 ， 
也 必须 进行 一 系列 的 安全 关联 。 


14.3.5 IPSec VPN 的 构成 


VPN 由 管理 模块 、 密 钥 分 配 和 生成 模块 、 身 份 认证 模块 、 数 据 加 /解密 模块 、 数 据 分 
组 封装 /分 解 模 块 和 加 密 函 数 库 等 几 部 分 组 成 。 一 个 IPSec VPN 的 组 成 如 图 14-11 所 示 。 


/BR eee 
管理 员 / a | | 密 钥 分 本 到 pas | 


/ #8 /4 Va) | 和 生成 模 摧 | BR AFR 
MÈ J i 数据 分 组 封装 /分 解 模块 | 


1 
图 14-11 IPSec VPN 的 组 成 









































1. 管理 模块 

管理 模块 负责 整个 系统 的 配置 和 管理 ， 它 决定 了 采取 何 种 传输 模式 ， 对 哪些 TP 数据 
包 进 行 加 /解密 。 由 于 对 IP 数据 包 进行 加 密 要 消耗 系统 资源 、 增 大 网 络 延迟 ， 因 此 对 两 
个 安全 网 关 之 间 的 所 有 IP 数据 包 提供 VPN 服务 是 不 现实 的 。 网 络 管理 员 可 以 通过 管理 
模块 指定 对 哪些 IP 数据 包 进 行 加 密 。Intranet 内 部 用 户 也 可 以 通过 Telnet 协议 传送 专用 
命令 ， 指 定 VPN 系统 对 自己 的 IP 数据 包 提供 加 密 服 务 。 


2. 密 钥 分 配 和 生成 模块 

密 钥 分 配 和 生成 模块 负责 完成 身份 认证 和 数据 加 密 所 需 的 密 钥 生成 和 分 配 。 其 中 ， 
密 钥 的 生成 采取 随机 生成 的 方式 。 各 安全 网 关 之 间 的 密 钥 分 配 采取 手工 分 配 的 方式 ， 或 
者 通过 非 网 络 传输 的 其 他 安全 通信 方式 完成 密 钥 在 各 安全 网 关 之 间 的 传送 。 各 安全 网 关 
的 密 钥 存 储 在 密 钥 数 据 库 中 ， 支 持 以 IP 地 址 为 关键 字 的 快速 查询 和 获取 。 

3. 身份 认证 模块 

身份 认证 模块 对 卫 数据 包 进行 消息 认证 码 的 运算 。 整 个 数字 签名 的 过 程 如 图 14-12 
所 示 。 














IP 数 据 分 组 m H| HMAC=H(m, K) =) IP 数 据 分 组 m | HMAC 
图 14-12 ”消息 认证 码 计算 过 程 示 意图 


首先 ， 发 送 方 对 数据 m 和 密 钥 K 进行 杂凑 运算 HMAC=H(m, K)， 得 到 消息 认证 码 
HMAC. 发 送 方 将 HMAC 附 在 明文 后 ， 一 起 传送 给 接收 方 。 接 收 方 收 到 数据 后 ， 首 先 用 
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共享 密 钥 久 计算 HMAC'， 并 将 其 与 接收 到 的 HMAC 进行 比较 ， 如 果 二 者 一 致 ， 则 表明 
数据 未 被 算 改 。 消 息 认证 码 在 保证 数据 完整 性 的 同时 也 起 到 了 身份 认证 的 作用 ， 因 为 只 
有 在 通信 双方 有 共享 密 钥 的 情况 下 才能 得 到 相同 的 消息 认证 码 。 

4. 数据 加 /解密 模块 

数据 加 /解密 模块 对 IP 数据 包 进行 加 密 和 解密 操作 .可 选 的 加 密 算 法 有 IDEA 算法 和 
DES 算法 。 前 者 在 用 软件 方式 实现 时 可 以 获得 较 快 的 加 密 速度 。 为 了 进一步 提高 系统 效 
K, 可 以 采用 专用 硬件 实现 数据 的 加 密 和 解密 ,这 时 采用 DES 算法 能 得 到 较 快 的 加 密 速 
度 。 目 前 ， 随 着 计算 机 计算 能 力 的 提高 ，DES 算法 已 不 能 满足 安全 要 求 。 对 于 安全 性 要 
求 更 高 的 网 络 数 据 ， 数 据 加 /解密 模块 可 采用 Triple DES 或 AES 加 密 算法 。 

5. 数据 分 组 封装 /分 解 模 块 

数据 分 组 封装 /分 解 模块 实现 对 IP 数据 分 组 的 安全 封装 或 分 解 。 当 从 安全 网 关 发 送 
IP 数据 分 组 时 ， 数 据 分 组 封装 /分 解 模块 为 IP 数据 分 组 附加 上 身份 认证 头 AH 和 安全 数 
据 封装 头 ESP。 当 安全 网 关 接 收 到 IP 数据 分 组 时 , 数据 分 组 封装 /分 解 模块 对 AH 和 ESP 
进行 协议 分 析 ， 并 根据 包头 信息 进行 身份 验证 和 数据 解密 。 

6. 加 密 函 数 库 

加 密 函 数 库 为 上 述 模块 提供 统一 的 加 密 服 务 。 设 计 加 密 函 数 库 的 一 条 基本 原则 是 通 
过 一 个 统一 的 函数 接口 与 上 述 模 块 进行 通信 。 这 样 可 以 根据 实际 需要 ， 在 挂 接 加 密 算法 
和 加 密 强 度 不 同 的 函数 库 时 ， 无 须 改动 其 他 模块 。 

14.3.6 IPSec 的 实现 

FreeS/WAN 是 Linux 操作 系统 中 包含 的 IPSec VPN 实现 方案 ， 在 网 上 可 以 找到 其 开 
放 的 源 代 码 〈 下 载 网 址 ，www.freeswan.org)。 
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14.4.1 TLS 协议 概述 


SSL VPN 也 称 做 传输 层 安 全 协议 (TLS) VPN. 它 起 初 由 Netscape 公司 定义 并 开发 ， 
后 来 IETF 将 SSL 重新 更 名 为 TLS。 就 设计 思想 和 目标 而 言 ，SSL v3 和 TLS v1 是 相同 
的 。 在 本 章 后 面 的 讨论 中 ， 将 使 用 TLS 来 替代 SSL. 

TLS 协议 主要 用 于 HTTPS 协议 中 。HTTPS 协议 将 Web 浏览 协议 HTTP 和 TLS 结合 
在 一 起 。HTTPS 协议 是 用 户 进行 网 上 项 目 申报 、 网 上 交易 和 网 上 银行 操作 时 常用 的 一 个 
工具 。 

TLS 也 可 以 作为 构造 VPN 的 技术 。 近 年 来 ，TLS VPN 的 使 用 越 来 越 广泛 。 企 业 使 
用 TLS VPN， 可 以 大 大 降低 通信 费用 ， 并 使 网 络 的 安全 性 得 到 明显 提高 。 与 IPSec VPN 
相 比 ，TLS VPN 的 最 大 优点 是 用 户 不 需要 安装 和 配置 客户 端 软件 ， 只 需要 在 客户 端 安 装 
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一 个 I 浏览 器 即 可 。 相反, IPSec 需要 在 每 台 计 算 机 上 配置 相应 的 安全 策略 。 虽然 IPSec 
的 安全 性 很 高 ， 但 这 需要 技术 人 员 花 费 很 多 精力 去 研究 IPSec 的 配置 。 虽 然 有 一 些 方法 
可 以 自动 完成 这 个 过 程 ， 但 使 用 IPSec VPN 通常 会 增加 管理 成 本 。 

F TLS 协议 允许 使 用 数字 签名 和 证 书 , 因此 TLS 协议 能 提供 强大 的 认证 功能 。 在 
建立 TLS 连接 过 程 中 , 客户 端 和 服务 器 之 间 要 进行 多 次 的 信息 交互 。TLS 协议 的 连接 建 
立 过 程 如 图 14-13 所 示 。 





























Client hello 
证 书 (服务 器 的 ) 


Server hello 完 成 






客户 4 
(如 Web 浏 览 器 ) (如 openssD) 





图 14-13 TLS 协议 的 连接 建立 过 程 


与 许多 客户 /服务 器 方式 一 样 ， 客 户 端 通过 向 服务 器 发 送 “Client hello” 信 息 打 开 连 
接 ， 服 务 器 用 “Server hello” 回 答 。 然 后 ， 服 务 器 要 求 客户 端 提供 它 的 数字 证 书 。 服 务 
器 在 完成 对 客户 端 证 书 的 验证 后 ， 就 会 启动 执行 密 钥 交 换 协议 。 密 钥 交 换 协 议 的 主要 任 
务 是 : 

e 产生 一 个 主 密 钥 。 

e 由 主 密 钥 产 生 两 个 会 话 密 钥 : A>B 的 密 钥 和 8 一 4 的 密 钥 。 

e 由 主 密 钥 产生 两 个 消息 认证 码 密 钥 。 

完整 的 TLS 协议 体系 结构 如 图 14-14 所 示 。 可 以 看 出 ，TLS 记录 协议 属于 第 3 层 协 
WX, Mi TLS 握手 协议 、TLS 密 钥 交 换 协议 和 TLS 报警 协议 均 与 HTTP 和 FTP 一 样 ， 属 
于 应 用 层 协 议 。 





REDY ZN ene Bere | me 
TLS 记 录 协 议 

传输 控制 协议 (TCP) 

网 间 协 议 (IP) 


图 14-14 ”完整 的 TLS 协议 体系 结构 


























14.4.2 TLS VPN 的 原理 


大 多 数 TLS VPN 都 采用 HTTP 反 向 代理 ， 这 样 它们 非常 适合 于 具有 Web 功能 的 应 
用 ,通过 任何 Web 浏览 器 都 可 访问 。HTTP 反 向 代理 支持 其 他 查询 /应 答应 用 ， 如 企业 的 
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电子 邮件 及 ERP 和 CRM 等 客户 /服务 器 应 用 。 为 了 访问 这 些 类 型 的 应 用 ，TLS VPN 为 
远程 连接 提供 了 一 种 简单 、 经 济 的 方案 。 它 属于 即 插 即 用 型 ， 不 需要 任何 附加 的 客户 端 
软件 或 硬件 。 一 般 来 讲 ，TLS VPN 的 实现 方式 是 在 企业 的 防火 墙 后 面 放置 一 个 TLS 代 
理 服务 器 。 如 果 用 户 欲 安全 地 连接 到 公司 网 络 ， 首 先 要 在 浏览 器 上 输入 一 个 URL， 该 
连接 请 求 将 被 TLS 代理 服务 器 取得 。 当 该 用 户 通过 身份 验证 后 ，TLS 代理 服务 器 将 提 
供 远程 用 户 与 各 种 不 同 应 用 服务 器 之 间 的 连接 。TLS VPN 的 实现 主要 依靠 下 面 3 种 协 
议 的 支持 。 

1. 握手 协议 

握手 协议 建立 在 可 靠 的 传输 协议 之 上 ， 为 高 层 协议 提供 数据 封装 、 压 缩 和 加 密 等 基 
本 功能 的 支持 。 这 个 协议 负责 被 用 于 协商 客户 机 和 服务 器 之 间 会 话 的 加 密 参数 。 当 一 个 
TLS 客户 机 和 服务 器 第 一 次 通信 时 ， 它 们 首先 要 在 选择 协议 版 本 上 达成 一 致 ， 选 择 加 密 
算法 和 认证 方式 ， 并 使 用 公 钥 技术 来 生成 共享 密 钥 。 具 体 协议 流程 如 下 。 

(1) TLS 客户 机 连接 至 TLS 服务 器 ， 并 要 求 服务 器 验证 客户 机 的 身份 。 

(2) TLS 服务 器 通过 发 送 它 的 数字 证 书证 明 其 身份 。 这 个 交换 还 可 以 包括 整个 证 书 
链 ， 该 证 书 链 可 以 追溯 到 某 个 根 证 书 颁发 机 构 。 通 过 检查 证 书 的 有 效 日 期 并 验证 数字 证 
书 中 所 包含 的 可 信任 CA 的 数字 签名 来 确认 TLS 服务 器 公 钥 的 真实 性 。 

(3) 服务 器 发 出 一 个 请 求 ， 对 客户 端的 证 书 进行 验证 。 但 由 于 缺乏 PKI 系统 的 支撑 ， 
当今 的 大 多 数 TLS 服务 器 不 进行 客户 端 认证 。 

(4) 协商 用 于 消息 加 密 的 加 密 算法 和 用 于 完整 性 检验 的 杂凑 函数 ， 通 常 由 客户 端 提 
供 它 所 支持 的 所 有 算法 列表 ， 然 后 由 服务 器 选择 最 强 的 密码 算法 。 

G) 客户 机 生成 一 个 随机 数 ， 并 使 用 服务 器 的 公 钥 〈 从 服务 器 证 书 中 获取 ) 对 它 加 
密 ， 并 将 密 文 发 送 给 TLS 服务 器 。 

(6) TLS 服务 器 通过 发 送 另 一 随机 数据 做 出 响应 。 

(7) 对 以 上 两 个 随机 数 进行 杂凑 函数 运算 ， 从 而 生成 会 话 密 钥 。 

其 中 ， 最 后 3 步 用 来 生成 会 话 密 钥 。 

2. TLS 记录 协议 

TLS 记录 协议 建立 在 TCP/IP 之 上 ， 用 于 在 实际 数据 传输 开始 前 通信 双方 进行 身 
份 认证 、 协 商 加 密 算 法 和 交换 加 密 密 钥 等 。 发 送 方 将 应 用 消息 分 割 成 可 管理 的 数据 块 ， 
然后 与 密 钥 一 起 进行 杂凑 运算 , 生成 一 个 消息 认证 代码 (Message Authentication Code, 
MAC)， 最 后 将 组 合 结果 进行 加 密 并 传输 。 接 收 方 接收 数据 并 解密 ， 校 验 MAC， 并 
对 分 段 的 消息 进行 重新 组 合 ， 把 整个 消息 提供 给 应 用 程序 。TLS 记录 协议 如 图 14-15 
所 示 。 

3. 告警 协议 

告警 协议 用 于 提示 何 时 TLS 协议 发 生 了 错误 ， 或 者 两 个 主机 之 间 的 会 话 何 时 终止 。 
只 有 在 TLS 协议 失效 时 告警 协议 才 会 被 激活 。 
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图 14-15 TLS 记录 协议 


14.4.3 TLS VPN 的 优 缺 点 


与 其 他 类 型 的 VPN 相 比 ，TLS VPN 有 独特 的 优点 ， 归 纳 起 来 主要 有 如 下 几 点 。 

(1) 无 须 安 装 客户 端 软件 。 只 需要 标准 的 Web 浏览 器 连接 Internet， 即 可 以 通过 网 
页 访问 企业 总 部 的 网 络 资源 。 

(2) 适用 于 大 多 数 设备 。 浏 览 器 可 以 访问 任何 设备 ,如 可 上 网 的 PDA 和 蜂窝 电话 等 
设备 。Web 已 成 为 标准 的 信息 交换 平台 ， 越 来 越 多 的 企业 开始 将 ERP、CRM、SCM 移 
植 到 Web 上 。TLS VPN 起 到 为 Web 应 用 保驾 护航 的 作用 。 

(3) 适用 于 大 多 数 操作 系统 ， 如 Windows，Macintosh，UNIX 和 Linux 等 具有 标准 
浏览 器 的 系统 。 

(4) 支持 网 络 驱动 器 访问 。 

(5) TLS 不 需要 对 远程 设备 或 网 络 做 任何 改变 。 

(6) 较 强 的 资源 控制 能 力 。 基 于 Web 的 代理 访问 ， 可 对 远程 访问 用 户 实 施 细 粒 度 的 
资源 访问 控制 。 

(7) 费用 低 且 具有 良好 的 安全 性 。 

(8) 可 以 绕 过 防火 墙 和 代理 服务 器 进行 访问 ， 而 IPSec VPN 很 难 做 到 这 一 点 。 

(9) TLS 加 密 已 经 内 嵌 在 浏览 器 中 ， 无 须 增 加 额外 的 软件 。 

TLS VPN 有 以 下 不 足 。 

(1) TLS VPN 的 认证 方式 比较 单一 ， 只 能 采用 证 书 ， 而 且 一 般 是 单 向 认证 。 支 持 其 
他 认证 方式 往往 要 进行 长 时 间 的 二 次 开发 。 而 IPSec VPN 的 认证 方式 更 加 灵活 ， 支 持 口 
令 、RADIUS、 令 牌 等 认证 方式 。 

(2) TLS VPN 应 用 的 局 限 性 很 大 ， 只 适用 于 数据 库 - 应 用 服务 器 -Web 服务 器 -浏览 器 
这 一 种 模式 。 

(3) TLS 协议 只 对 通信 双方 所 使 用 的 应 用 通道 进行 加 密 ， 而 不 是 对 整个 通道 进行 加 密 。 

(4) TLS 不 能 对 应 用 层 的 消息 进行 数字 签名 。 

(5) LAN-to-LAN 的 连接 缺少 理想 的 TLS 解决 方案 。 

(6) TLS VPN 的 加 密级 别 通常 不 如 IPSec VPN 高 。 
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(7) TLS 能 | HTTP 创建 的 TCP 通道 的 安全 ， 但 它 并 不 能 保护 UDP 通道 的 安全 。 

(8) TLS VPN 是 应 用 层 加 密 ， 性 能 比较 差 。 目 前 ，IPSec VPN 可 以 达到 千 兆 位 每 秒 
甚至 接近 10Gb/s, fi TLS VPN 由 于 在 应 用 层 上 加 密 ， 即 使 使 用 加 速 卡 ， 也 只 能 达到 
300Mb/s。 

(9) TLS VPN 只 能 进行 认证 和 加 密 ， 不 能 实施 访问 控制 。 在 隧道 建立 后 ， 管 理 员 对 
户 不 能 进行 任何 限制 。 而 集成 防火 墙 的 IPSec VPN 则 可 以 根据 用 户 的 身份 和 角色， 在 
其 访问 内 部 资源 〈 主 机、 数据 库 ) 时 进行 访问 控制 和 安全 审计 。 

(10) TLS VPN 需要 CA 的 支持 ， 企 业 必须 外 购 或 自己 部 署 一 个 小 型 的 CA 系统 。 对 
于 一 个 企业 来 说 ， 证 书 管理 也 是 一 件 相当 复杂 的 工作 。 


14.4.4 TLS VPN 的 应 用 


目前 ， 远 程 客户 采用 TLS VPN 主要 用 于 访问 内 部 网 中 的 一 些 基 于 Web 的 应 用 ， 这 
些 Web 应 用 目前 主要 有 内 部 网 页 浏览 、 电 子 邮件 及 其 他 基于 Web 的 查询 工作 。 在 客户 
与 TLS VPN 的 通信 中 ， 人 们 通常 采用 TLS Proxy 技术 来 提高 VPN 服务 器 的 通信 性 能 和 
安全 身份 验证 能 力 。 在 为 企业 高 级 用 户 (Power User) 提供 远程 访问 及 为 企业 提供 
LAN-to-LAN 隧道 连接 方面 ,IPSec 具有 无 可 比拟 的 优势 .但 是 ,人们 认为 典型 的 TLS VPN 
最 适合 普通 员工 远程 访问 基于 Web 的 应 用 。 虽 然 TLS VPN 有 很 多 优点 ， 但 它 并 不 能 取 
代 IPSec VPN， 因 为 这 两 种 技术 分 别 应 用 在 不 同 的 领域 。TLS VPN 更 多 考虑 的 是 用 户 远 
程 接 入 Web 应 用 的 安全 性 , 而 IPSec VPN 主要 提供 LAN-to-LAN 的 隧道 安全 连接 , EAR 
护 的 是 点 对 点 之 间 的 通信 ,当然 , 它 也 可 以 提供 对 Web 应 用 的 远程 访问 。 目 前 ,IPSec VPN 
的 厂商 也 开始 研究 如 何 让 IPSec VPN 兼容 TLS VPN， 以 增强 可 用 性 。 如 果 能 做 到 这 点 ， 
IPSec VPN 的 扩展 性 将 大 大 加 强 ， 市 场 占有 率 也 会 更 高 ， 生 命 力也 将 更 长 久 。 


14.4.5 TLS VPN 5 IPSec VPN 比较 


TLS VPN 与 IPSec VPN 的 性 能 比较 如 表 14-2 所 示 。 
表 14-2 TLS VPN 与 IPSec VPN 的 性 能 比较 

















<n 



































选 项 TLS VPN IPSec VPN 
单 向 身份 验证 2 i 
身份 验证 双向 身份 验证 he 
数字 证 书 
加 密 强加 密 强加 密 
基于 Web 浏览 器 依靠 执行 
全 程 安全 性 端 到 端 安 全 网 络 边 缘 到 客户 端 
从 客户 到 资源 端 全 程 加 密 仅 对 从 客户 到 VPN 网 关 之 间 通 道 加 密 
可 访问 性 适用 于 任何 时 间 、 任 何 地 点 访问 限制 适用 于 已 经 定义 好 受 控 用 户 的 访问 
费用 低 〈 无 须 任何 附加 客户 端 软件 ) 高 (需要 管理 客户 端 软件 ) 
安装 即 插 即 用 安装 通常 需要 长 时 间 的 配置 
无 须 任何 附加 的 客户 端 软 、 硬 件 安装 需要 客户 端 软件 或 硬件 
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AK 
选 项 TLS VPN IPSec VPN 
用 户 的 易 使 用 ee 使 用 非常 熟悉 的 Web | 对 没有 相应 技术 的 用 户 比 较 图 难 
ae fry 
ü 无 须 终端 用 户 的 培训 需要 培训 





基于 Web 的 应 用 
支持 的 应 用 文件 共享 


E-mail 


所 有 基于 IP 的 服务 








用 户 客户 、 合作 伙伴 用 户 、 远 程 用户 、 供 应 商 更 适合 在 企业 内 部 使 用 
可 伸缩 性 容易 配置 和 扩展 在 服务 器 端 容易 实现 自由 伸缩 ， 在 客 


户 端 比较 困难 
不 可 以 








穿越 防火 墙 可 以 
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由 3COM 公司 和 微软 公司 合作 开发 的 点 对 点 隧道 协议 〈Point-to-Point Tunneling 
Protocol, PPTP) 是 第 一 个 用 来 建立 VPN 的 协议 。PPTP 之 所 以 能 得 到 广泛 应 用 ， 是 因 
为 它 使 用 起 来 比较 灵活 ， 容 易 部 署 ， 而 且 能 得 到 大 多 数 运营 商 的 解决 方案 的 支持 。 该 协 
议 最 初 于 1998 年 提出 ， 是 Windows NT 4.0 的 一 个 重要 组 成 部 分 。 但 是 ， 此 协议 在 提出 
之 初 存在 严重 的 安全 问题 ,随后 在 Windows 2000 和 Windows 2003 中 进行 了 大 量 的 修改 。 
即便 如 此 ，PPTP 的 声誉 还 是 由 于 最 初 的 错误 而 受到 损害 。 


14.5.1 PPTP 概述 


PPTP VPN 最 早 是 Windows NT 4.0 支持 的 隧道 协议 标准 ， 是 PPP 的 扩展 。PPTP 主 
要 增强 了 PPP 的 认证 和 加 密 功 能 。PPTP 在 一 个 已 存在 的 人 P 连接 上 封装 PPP 会 话 ， 只 要 
网 络 层 是 连通 的 ， 就 可 以 运行 PPP. PPTP 将 控制 包 与 数据 包 分 开 ， 控 制 包 采用 TCP 传 
输 ， 用 来 进行 严格 的 状态 查询 和 信 令 信息 交换 ， 数 据 包 部 分 先 封装 在 PPP 中 ， 然 后 再 封 
装 到 GRE 协议 中 ， 用 于 在 标准 IP 包 中 封装 任何 形式 的 数据 包 。 因 此 ，PPTP 可 以 支持 所 
有 的 主流 协议 ， 包 括 IP. IPX 和 NetBEUI 等 。 

PPTP 的 主要 功能 是 开通 VPN 隧道 ， 它 还 是 采用 原来 的 PPP 拨号 建立 网 络 连 接 。 除 
了 搭建 隧道 外 ，PPTP 对 PPP 本 身 没 有 做 任何 修改 ， 只 是 将 用 户 的 PPP 帧 采用 GRE 封装 
成 卫 数据 包 , 在 Internet 中 经 隧道 传送 。PPTP 本 身 并 没有 定义 新 的 加 密 机 制 ， 它 只 是 继 
AKT PPP 的 认证 和 加 密 机 制 , 包括 PAP、CHAP、MS-CHAP 身份 认证 机 制 及 微软 的 点 对 
点 加 密 (Microsoft Point-to-Point Encrypt, MPPE) 机 制 。 

PPTP 是 支持 远程 访问 〈Client-to-LAN) 型 VPN 的 一 种 隧道 方案 ， 它 可 用 于 移动 办 
公 或 个 人 用 户 远 程 访问 VPN 服务 器 网 络 。 同 时 ，PPTP 也 适用 于 企业 网 络 之 间 建 立 
LAN-to-LAN 的 VPN 隧道 连接 。PPTP 在 PPP 的 基础 上 增加 了 一 个 新 的 安全 等 级 ， 并 且 
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可 以 通过 Internet 进行 多 协议 通信 , 也 支持 通过 Internet 建立 按 需 的 、 多 协议 的 虚拟 专 网 。 

PPTP 的 两 个 主要 任务 是 “封装 ”和 “加 密 ”。PPTP 的 “封装 ”使 用 GRE 的 头 部 数 
据 和 IP 头 部 数据 包装 PPP Wie IP 头 部 数据 用 来 标识 与 客户 机 和 VPN 服务 器 相关 的 源 和 
目的 IP 地 址 等 路 由 信息 。PPP wide PPTP 中 的 数据 封装 方式 如 图 14-16 所 示 。 从 图 中 可 
以 看 出 ，PPTP 的 VPN 隧道 包 封 装 方式 仅 是 在 PPP 帧 的 前 面 添加 了 一 个 用 来 标识 源 和 目 
的 地 址 的 亿 头 和 一 个 GRE 头 。 

PPP 帧 

PPP 头 加 密 的 PPP 净 荷 


























IP 头 | GRE% | PPP% 加 密 的 PPP 净 荷 
图 14-16 PPP 帧 在 PPTP 中 的 数据 封装 方式 


于 PPTP 本 身 没 有 定义 加 密 功能 , 因此 所 谓 的 “加 密 ” 实 际 上 是 PPP 通过 MS-CHAP 
和 EAP-TLS 协议 建立 会 话 密 钥 ， 然 后 再 对 净 荷 部 分 采用 MPPE 机 制 进行 加 密 。 因 此 ， 
PPTP 本 身 不 提供 加 密 服 务 ， 只 是 对 先前 已 加 密 的 PPP 帧 进行 封装 。 


14.5.2 PPTP VPN 的 原理 
点 对 点 隧道 协议 由 RFC2637 定义 ， 是 一 种 应 用 比较 广泛 的 VPN。 由 于 PPTP VPN 
使 用 了 一 个 不 安全 的 控制 通道 (该 通道 采用 TCP 1723 端口 )， 且 PPTP 本 身 没 有 定义 任 


何 加 密 机 制 ， 因 此 它 的 安全 性 不 如 IPSec VPN 和 TLS VPN 高 。PPTP VPN 构成 示意 图 如 
图 14-17 所 示 。 

















































公司 站 点 公共 Internet 使 用 拨号 调制 解 调 器 、 
LAN 等 工具 访问 ISP 
的 远程 计算 机 
公司 PPTP 网 络 
服务 器 (PNC) PPTP: Q 
TCP 控 制 通道 
端口 1723 S 
1 
| ISP PPTP 访 问 集中 
9 g | | 器 (PAC) 是 客户 
安全 GRE 隧 道 
被 访问 的 PPTP | (协议 47) i: 
公司 服务 器 ”网络 访 问 一 不 安全 通道 
RANAS)  ----- 安全 通道 





图 14-17 PPTP VPN 构成 示意 图 


PPTP 基于 C/S 结构 , 它 将 认证 和 连接 设置 功能 分 离开 来 , 而 在 其 他 类 型 的 VPN (如 
IPSec VPN) 中 ， 这 两 个 功能 是 统一 的 ， 即 在 同一 个 协议 中 实现 了 AH 和 ESP 两 个 功能 。 
PPTP 定义 了 3 个 功能 实体 : PPTP 访问 集中 器 (PPTP Access Server，PAC)、 网 络 访问 服 
务 器 (Network Access Server，NAS， 有 时 称 做 RAS)、PPTP 网 络 服务 器 (PPTP Network 
Server, PNS). 

传统 网 络 访问 服务 器 (NAS) 具有 以 下 功能 : 作为 PSTN 或 ISDN 的 本 地 接口 ， 控 
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制 着 外 部 的 Modem 或 终端 适配器 ;是 PPP 链 路 控制 协议 会 话 的 罗 辑 终点 ; 是 PPP 认证 
协议 的 执行 者 ; 为 PPP 多 链 路 由 协议 进行 信道 汇聚 管理 ; 是 各 种 PPP 网 络 控制 协议 的 罗 
辑 终点 。PPTP 将 上 述 功能 分 解 成 由 两 部 分 一 -PAC (PPTP 访问 集中 器 ) 和 PNS (PPTP 
网 络 服务 器 ) 来 分 别 执行 。 这 样 ， 拨 号 PPP 链 路 的 终点 就 延伸 至 PNS 。 

PPTP 正 是 利用 了 “NAS 功能 分 解 ” 机 制 的 支持 ， 才 能 在 Internet 上 实现 VPN. ISP 
的 NAS 将 执行 PPTP 中 指定 的 PAC 的 功能 ,而 企业 VPN 中 心服 务 器 将 执行 PNS 的 功能 ， 
通过 PPTP， 远 程 用 户 首先 拨号 到 本 地 ISP 的 NAS， 访 问 企业 的 网 络 和 应 用 ， 而 不 再 需 
要 直接 拨号 至 企业 的 网 络 ,这样 ,由 GRE 将 PPP 报 文 封装 成 IP 报 文 就 可 以 在 PAC 一 PNS 
之 间 经 由 Internet 传递 ， 即 在 PAC 和 PNS 之 间 为 用 户 的 PPP 会 话 建 立 一 条 PPTP 隧道 。 

建立 PPTP 连 接 , 首先 需要 建立 客户 端 与 本 地 ISP 的 PPP 连 接 。 一 旦 成 功 接 入 Internet， 
下 一 步 就 是 建立 PPTP 连接 。 从 最 顶端 的 PPP 客户 端 、PAC 和 PNS 服务 器 之 间 开 始 ， 
已 经 安装 好 PPTP 的 PAC 建立 并 管理 PPTP 任务 。 如 果 PPP 客户 端 将 PPTP 添加 到 它 
的 协议 中 , 所 有 列 出 的 PPTP 通信 都 会 在 支持 PPTP 的 客户 端 上 开始 与 终止 。 由 于 所 有 通 
信和 都 将 在 IP 包 内 通过 隧道 , 因此 PAC 只 起 着 通过 PPP 连接 进入 Internet 的 入 口 点 的 作用 。 
从 技术 上 讲 ，PPP 包 从 PPTP 隧道 的 一 端 传 输 到 另 一 端 ， 这 种 隧道 对 用 户 是 完全 透明 的 。 


14.5.3. PPTP VPN 的 优 缺 点 


从 14.5.2 节 的 分 析 知 ,PPTP VPN 连接 的 思路 是 : 先 由 用 户 通过 PPP 拨号 连接 到 ISP, 
然后 通过 PPTP 在 客户 端 和 VPN 服务 器 之 间 开 通 一 个 专用 的 VPN 隧道 ， 数 据 经 隧道 进 
行 交换 。 具 体 做 法 如 下 。 

(1) 远程 Windows 用 户 通过 拨号 网 络 中 的 远程 访问 服务 (RAS) 与 本 地 ISP 进行 
PPP 拨号 连接 。 

(2) 当 PPP 连接 建立 后 ，VPN 客户 再 使 用 VPN 连接 选项 进行 二 次 拨号 。 第 二 次 连 
接 不 再 使 用 与 当地 ISP 连接 的 电话 号 码 , 而 是 直接 使 用 VPN 服务 器 的 WAN 适配器 的 IP 
地 址 或 域名 ， 并 且 客户 端 用 VPN 端口 替代 第 一 次 电话 拨号 所 用 的 COM 端口 。 

从 上 面 的 分 析 看 出 ， 建 立 PPTP VPN 如 同 电话 拨号 上 网 一 样 方便 。 因 此 ，PPTP 的 最 
大 优点 是 : 它 不 依赖 于 TCP/IP 协议 族 ， 可 以 与 Novell 的 IPX 或 Microsoft 的 NetBEUI 
协议 一 起 使 用 。 然 而 ， 由 于 现今 的 大 多 数 网 络 都 基于 TCP/IP, HLA PPTP 的 应 用 具有 一 
定 的 局 限 性 。 

此 外 ， 由 于 PPTP 中 没有 定义 加 密 功 能 ， 所 以 PPTP VPN 的 安全 性 是 所 有 类 型 的 IP 
VPN 中 最 低 的 。 因 此 ， 本 书 中 没有 把 PPTP VPN 作为 讨论 的 重点 。 


146 MPLS VPN 










































































MPLS VPN 是 一 种 基于 多 协议 标记 交换 (Multiprotocol Label Switching, MPLS) $% 
术 的 也 VPN。 在 网 络 路 由 和 交换 设备 上 应 用 MPLS 技术 可 以 简化 核心 路 由 器 的 路 由 选择 
方式 。MPLS 利用 传统 路 由 中 的 标记 交换 技术 来 实现 IP 虚拟 专 网 (IP VPN). MPLS VPN 
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可 用 来 构造 宽带 的 Internet 和 Extranet， 它 能 够 满足 企业 对 业务 多 样 性 的 需求 。 
14.6.1 MPLS 协议 概述 


MPLS 是 基于 标记 的 卫 路 由 选择 方法 。 用 这 些 标记 可 以 标识 逐 跳 式 或 显 式 路 由 ， 并 
标识 服务 质量 (QoS)、 特 定 类 型 的 流量 〈 或 一 个 特殊 用 户 的 流量 ) 及 流量 的 传输 方式 等 
各 类 信息 。MPLS 采用 简化 技术 完成 第 3 层 和 第 2 层 的 转换 ， 可 为 每 个 IP 数据 包 提 供 一 
个 标记 。 该 标记 与 人 P 数据 包 一 起 被 封装 于 新 的 MPLS 数据 包 中 ， 它 决定 了 了 数据 包 的 
传输 路 径 及 优先 顺序 。 支 持 MPLS 协议 的 路 由 器 会 仅 读 取 该 MPLS 数据 包 的 包头 标记 ， 
无 须 再 去 读 取 每 个 卫 数据 包 中 的 IP 地 址 等 信息 ， 即 可 将 IP 数据 包 按 相 应 路 径 转 发 。 因 
此 ，MPLS 技术 可 以 大 大 加 快 路 由 器 交换 和 转发 数据 包 的 速度 。 

目前 的 路 由 协议 都 是 在 一 个 指定 源 和 目的 地 之 间 选 择 最 短路 径 ， 而 没有 考虑 该 路 径 
的 带宽 、 载 荷 等 链 路 状态 ， 也 没有 绕 过 缺乏 安全 保障 链 路 的 有 效 方法 。MPLS 技术 利用 
显 式 路 由 选择 ， 可 灵活 选择 一 条 低 延 迟 、 高 安全 的 路 径 来 传输 数据 。 

MPLS 协议 实现 了 第 3 层 路 由 到 第 2 层 交换 的 转换 。MPLS 可 以 使 用 各 种 第 2 层 协 
iM. LS, MPLS 工作 组 已 经 对 帧 中 继 、ATM、PPP 链 路 及 IEEE 802.3 局 域 网 上 使 用 的 
标记 进行 了 标准 化 。MPLS 可 为 帧 中 继 和 ATM 这 些 面向 连接 的 技术 提供 IP 的 任意 连通 
性 。 目 前 ，MPLS 的 主要 发 展 方向 在 ATM 方面 ， 这 主要 是 因为 ATM 具有 很 强 的 流量 管 
理 功 能 ， 能 提供 QoS 服务 。ATM 与 MPLS 技术 相 结合 ， 能 充分 发 挥 ATM 在 流量 管理 和 
QoS 方面 的 作用 。 标 记 用 于 转发 数据 包 的 报头 ， 报 头 的 格式 则 取决 于 所 使 用 的 网 络 。 在 
路 由 器 网 络 中 ， 标 记 是 单独 的 32b 报头 ; 在 ATM 网 络 中 ， 标 记 置 于 虚 电 路 标识 符 / 虚 通 
道 标识 符 CVCI/VPD 信 元 报头 中 。MPLS 之 所 以 具有 很 强 的 可 扩展 性 ， 关 键 是 因为 标记 
只 在 两 个 通信 设备 之 间 才 有 特定 的 意义 ， 而 路 由 器 和 交换 机 只 解读 标记 而 不 解析 IP 数 
据 包 。 

IP 数据 包 进入 网 络 时 ， 边 界 路 由 器 给 它 分 配 一 个 标记 。 自 此 ，MPLS 设备 就 会 自 始 
至 终 查 看 这 些 标记 信息 ， 将 这 些 有 标记 的 数据 包 发 送 至 其 目的 地 。 由 于 路 由 处 理 减 少 ， 
网 络 的 等 待 时 间 也 就 随 之 缩短 ， 而 可 扩展 性 却 有 所 增加 。MPLS 数据 包 的 QoS 类 型 可 以 
MPLS 边界 路 由 器 根据 IP 数据 包 的 各 种 参数 来 确定 ， 如 IP 的 源 地 址 、 目 的 地 址 、 端 
口号 、TOS 值 等 参数 。 

对 于 到 达 同 一 目的 地 的 IP 数据 包 ， 可 根据 其 TOS 值 的 要 求 建立 不 同 的 转发 路 径 ， 
以 确保 传输 质量 。 同 时 ， 通 过 对 特殊 路 由 的 管理 ， 还 能 有 效 地 解决 网 络 中 的 负载 均衡 和 
拥塞 问题 。 当 网 络 出 现 拥塞 时 ，MPLS 可 实时 建立 新 的 转发 路 由 分 散 流量 ， 以 缓解 网 络 
拥塞 。 

MPLS 由 Cisco 的 标记 交换 技术 演变 而 来 ， 已 成 为 IETF 的 标准 协议 ， 是 标记 转发 的 
典范 。 与 传统 的 网 络 层 技术 相 比 ， 它 引入 了 以 下 一 些 新 概念 。 

A) 流 (Flow): 从 一 个 特定 源 发 出 的 分 组 序列 , 它们 被 单 播 或 多 播 (unicast/multicast) 
到 特定 目的 地 。 

(2) 标记 (Label): 一 个 短 且 定 长 、 物 理 连续 、 只 具有 局 部 意义 的 标识 符 ， 用 来 标 
识 一 个 “ 流 ”。“ 局 部 意义 ”是 指 一 个 标记 仅 在 邻接 的 两 个 MPLS 节点 之 间 有 意义 。 
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(3) 标记 交换 (Label Swap): 一 种 基本 的 链 路 层 转发 操作 ， 包 括 查 找 流 入 分 组 的 标 
记 以 决定 对 应 的 流出 标记 、 封 装 操作 、 输 出 及 其 他 数据 处 理 操作 。 

(4) MPLS 节点 (MPLS Node): 可 以 用 标记 交换 方式 转发 数据 包 的 网 络 节点 。 同 
WY, MPLS 节点 还 必须 运行 相应 的 MPLS 控制 协议 和 一 定 的 网 络 层 路 由 协议 。MPLS 节 
点 也 可 以 选择 支持 传统 的 网 络 层 数据 包 转 发 。 

(5) 标记 交换 路 径 〈Label Switched Path, LSP): 由 若干 MPLS 节点 连接 起 来 所 组 
成 的 点 到 点 的 路 径 。 在 该 路 径 上 ， 数 据 包 在 两 MPLS 节点 之 间 以 标记 交换 方式 转发 。 

(6) MPLS 域 (MPLS Domain): 运行 MPLS 路 由 选择 和 数据 包 转 发 的 一 组 连续 节 
点 的 集合 ， 这 些 节点 存在 于 同一 个 路 由 或 管理 域 中 。 

(7) MPLS 边界 节点 (MPLS Edge Node): 连接 一 个 MPLS 域 及 一 个 域外 节点 的 
MPLS 节点 。 域 外 节点 可 以 不 在 MPLS 方式 下 运行 ， 也 可 以 属于 另外 一 个 MPLS 域 。 

(8) 标记 交换 路 由 器 (Label Switching Router, LSR): 核心 设备 。 根 据 已 计算 好 的 
交换 表 交 换 被 加 上 标记 的 数据 包 。LSR 可 以 称 为 MPLS 边界 节点 。 处 于 边缘 的 设备 称 为 
边缘 标记 交换 路 由 器 ELSR (Edge LSR)。 边 缘 标记 交换 路 由 器 对 数据 包 进行 初始 分 类 处 
理 ， 并 加 上 第 一 个 标签 。 

(9) 标记 分 发 协议 (Label Distribution Protocol, LDP): 是 一 系列 FSR 之 间 的 通信 
规程 。 当 在 FSRs 之 间 交 换 和 转发 数据 包 时 ， 该 协议 用 来 进行 标记 的 交流 及 信息 的 传递 。 


14.6.2 MPLS VPN 的 原理 


与 采用 ATM、 帧 中 继 或 其 他 各 种 隧道 技术 建立 的 VPN ALL, MPLS VPN 是 一 个 更 
有 具 吸引 力 的 选择 。 传 统 的 VPN 采用 专线 技术 组 网 ， 投 资 大， 效率 低 。 利 用 Internet 构建 
VPN， 网 络 的 服务 质量 不 能 得 到 保证 ， 同 时 为 保证 网 络 安全 还 需 投 入 大 量 资金 。 

在 基于 MPLS 的 VPN 中 ,每 个 VPN 子 网 分 配 有 一 个 标识 符 , 称 做 路 由 标识 符 (RD)， 
这 个 标识 符 在 服务 提供 商 的 网 络 中 是 独一无二 的 。RD 和 用 户 的 卫 地 址 连接 ， 又 形成 转 
发 表 中 一 个 独一无二 的 地 址 ， 称 为 VPN-IP 地 址 。 

VPN 转发 表 中 包括 与 VPN-IP 地 址 相对 应 的 标签 。 通 过 这 个 标签 将 数据 传送 到 相应 
地 点 。 因 为 标签 代替 了 IP 地 址 ， 所 以 用 户 可 以 保持 他 们 的 专用 地 址 结构 ， 无 须 进 行 网 络 
地 址 转换 (NAT) 来 传送 数据 。 根 据 数据 入 口 ， 交 换 机 选择 一 个 特定 的 转发 表 ， 该 表 中 
只 包括 在 VPN 中 有 效 的 目的 地 址 。 为 了 创建 Extranet， 服 务 提 供 商 在 VPN 之 间 要 明确 
配置 可 达 性 。 

这 种 解决 方案 的 优势 是 : 可 以 通过 相同 的 网 络 结构 支持 多 种 VPN， 并 不 需要 为 每 一 
个 用 户 建立 单独 的 VPN 网 络 连接 。MPLS VPN 可 以 很 容易 地 与 基于 IP 的 用 户 网 络 结合 
起 来 ， 这 种 方案 将 IP VPN 的 能 力 内 置 于 网 络 本 身 ， 因 此 服务 提供 商 可 以 为 租用 者 配置 
一 个 网 络 以 提供 专用 的 IP 网 (如 Intranet 和 Extranet) 服务 ， 而 无 须 管 理 隧道 。 因 为 QoS 
All MPLS 都 是 基于 标记 的 技术 ， 所 以 QoS 服务 可 与 MPLS VPN 无 颖 结合 ， 为 每 个 VPN 
提供 特有 的 业务 策略 。 而 且 ， MPLS VPN 用 户 能 够 使 用 他 们 专 有 的 IP 地 址 上 网 ,无 须 网 
络 地 址 转换 (NAT) 的 帮助 。 
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MPLS VPN 的 工作 原理 如 下 : 

步骤 一 : 网 络 自动 生成 路 由 表 。 标 记分 配 协议 LDP) 使 用 路 由 表 中 的 信息 建立 相 
邻 设 备 的 标记 值 、 创 建 标记 交换 路 径 (LSP)、 预 先 设置 与 最 终 目的 地 之 间 的 对 应 关系 。 

步骤 二 : 将 连续 的 网 络 层 数据 包 看 做 “ 流 ” MPLS 边界 节点 可 以 首先 通过 传统 的 网 
络 层 数据 转发 方式 接收 这 些 数据 包 ; 边缘 LSR 通过 一 定 的 标记 分 配 策略 来 决定 需要 哪 种 
第 3 层 服 务 ， 如 QoS 或 带宽 管理 。 基 于 路 由 和 策略 的 需求 ， 有 选择 地 在 数据 包 中 加 入 一 
个 标记 ， 并 把 它们 转发 出 去 。 

步骤 三 : 当 加 入 标记 的 链 路 层 数据 包 在 MPLS 域 中 转发 时 ， 就 不 再 需要 经 过 网 络 层 
的 路 由 选择 ， 而 由 标记 交换 路 径 (LSP) 上 的 MPLS 节点 在 链 路 层 通过 标记 交换 进行 转 
Ro LSR 读 取 每 一 个 数据 包 的 标记 ， 并 根据 交换 表 替 换 一 个 新 值 ， 直 至 标记 交换 进行 到 
MPLS 边界 节点 。 

步骤 四 : 加 入 标记 的 链 路 层 数据 包 在 将 要 离开 此 MPLS 域 时 , 有 两 种 情况 : DMPLS 
边界 节点 的 下 一 跳 为 非 MPLS 节点 , 此 时 带 有 标记 的 链 路 层 数 据 包 将 采用 传统 的 网 络 
层 分 组 转发 方法 ， 先 经 过 网 络 层 的 路 由 选择 ， 再 继续 向 前 转发 ， 直 至 到 达 目 的 节点 ; 
@MPLS 边界 节点 的 下 一 跳 为 男 一 MPLS 域 的 MPLS 边界 节点 。 此 时 可 以 采用 “标记 栈 ” 
(Label Stack) 技术 ， 使 数据 包 仍 然 以 标记 交换 方式 进行 链 路 层 转 发 ， 进 入 邻接 的 
MPLS 域 。 

METH MPLS 工作 原理 可 以 看 出 ，MPLS 用 最 简化 的 技术 来 完成 第 3 层 交 换 向 第 
2 层 交 换 的 转换 。 采 用 MPLS 技术 的 网 络 对 于 IP 业务 的 转发 ， 既 不 需要 采用 “ 逐 跳 方式 ” 
(CHop-by-Hop) 转发 ， 也 不 再 需要 对 网 络 中 的 所 有 路 由 器 进行 第 3 层 路 由 表 的 查询 ， 而 
只 需要 在 边缘 标记 交换 路 由 器 (ELSR) 上 做 一 次 路 由 表 查 询 , 就 可 以 给 进入 MPLS 域 的 
IP 包 打上 一 个 标签 。 然后, HIP 包 在 网 络 中 仅 进行 第 2 层 交 换 ， 快 速 转发 到 MPLS 的 
目的 地 端 ， 由 出 口 ELSR 将 其 恢复 成 传统 IP 再 进行 传统 IP 转发 。 此 举 加 快 了 MPLS 
交换 机 查找 路 由 表 的 速度 , 减轻 了 交换 机 的 负担 。 由 此 可 见 ,，MPLS 可 以 满足 网 络 高 速 
转发 IP 包 的 需求 ， 同 时 它 也 继承 了 ATM 的 QoS 机 制 ， 可 以 满足 用 户 对 不 同 服务 质量 
的 要 求 。 


14.6.3 MPLS VPN 的 优 缺 点 


MPLS 能 够 充分 利用 公用 骨干 网 络 强大 的 传输 能 力 构建 VPN， 它 可 以 大 大 降低 政府 
和 企业 建设 内 部 专 网 的 成 本 ， 极 大 地 提高 用 户 网 络 运营 和 管理 的 灵活 性 ， 同 时 能 够 满足 
用 户 对 信息 传输 安全 性 、 实 时 性 、 宽 频带 和 方便 性 的 需要 。 与 其 他 基于 IP 的 虚拟 专 网 相 
比 ，MPLS 具有 很 多 优点 。 

A) 降低 了 成 本 。MPLS 简化 了 ATM 与 P 的 集成 技术 ， 使 第 2 层 和 第 3 层 技术 有 
效 地 结合 起 来 ， 降 低 了 成 本 ， 保 护 了 用 户 的 前 期 投资 。 

(2) 提高 了 资源 利用 率 。 由 于 在 网 内 使 用 标签 交换 ， 企 业 各 局 域 子 网 可 以 使 用 重复 
的 卫 地 址 ， 提 高 了 卫 资源 利用 率 。 
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(3) 提高 了 网 络 速 度 。 由 于 使 用 标签 交换 ， 缩 短 了 每 一 跳 过 程 中 搜索 地 址 的 时 间 及 
数据 在 网 络 传输 中 的 时 间 ， 提 高 了 网 络 速度 。 

(4) 提高 了 灵活 性 和 可 扩展 性 。 由 于 MPLS 使 用 了 “任意 到 任意 ”(Any to Any) 的 
连接 ， 提 高 了 网 络 的 灵活 性 和 可 扩展 性 。 所 谓 灵 活性 ， 是 指 用 户 可 以 制定 特殊 的 控制 策 
略 ， 以 满足 不 同 用 户 的 特殊 需求 ， 实 现 增值 业务 ; 所 谓 扩容 性 ， 是 指 同 一 网 络 中 可 以 容 
纳 的 VPN 的 数目 很 容易 得 到 扩充 。 

(5) 方便 了 用 户 。MPLS 技术 将 被 更 广泛 地 应 用 在 各 个 运营 商 的 网 络 中 ， 这 给 企业 
户 建 立 全 球 的 VPN 带 来 了 极 大 的 便利 。 

(6) 安全 性 高 。 采 用 MPLS 作为 通道 机 制 实现 透明 报 文 传输 ，MPLS 的 LSP 具有 与 
帧 中 继 和 ATM VCC (Virtual Channel Connection， 虚 通道 连接 ) 类 似 的 高 安全 性 。 

(7) 业务 综合 能 力 强 。 网 络 能 够 提供 数据 、 语 音 、 视 频 相 融合 的 能 力 。 

(8) MPLS 的 QoS 保证 。 用 户 可 以 根据 自己 的 不 同业 务 需 求 ， 通 过 在 CE 侧 的 配置 
来 赋予 MPLS VPN 不 同 的 QoS 等 级 。 这 种 QOS 技术 既 能 保证 网 络 的 服务 质量 ， 又 能 减 
少 用 户 的 费用 。 

(9) 适用 于 城 域 网 (PAN) 这 样 的 网 络 环境 。 另 外 ， 有 些 大 型 企业 分 支 机 构 众 多 ， 
业务 类 型 多 样 ， 业 务 流 向 流量 不 确定 ， 也 特别 适合 使 用 MPLS 。 

MPLS VPN 既 具 有 交换 机 的 高 速度 与 流量 控制 能 力 ， 又 具备 路 由 器 的 灵活 性 ， 能 够 
与 IP/ATM 很 好 地 结合 ， 使 ATM 设备 的 投资 得 到 充分 利用 。MPLS 技术 将 交换 机 与 路 由 
器 的 优点 完美 地 结合 在 一 起 。 

但 是 ，MPLS 技术 也 存在 明显 的 不 足 : 

A) 由 于 ATM 技术 本 身 目前 备 受 争议 ， 所 以 MPLS VPN 的 存在 价值 大 打折 扣 。 

(2) MPLS VPN 与 IP-in-IP VPN, PPTP VPN 一 样 ， 本 身 没 有 采用 加 密 机 制 ， 因 此 
MPLS VPN 实际 上 并 不 十 分 安全 。 

AZ, IPSec VPN 是 最 安全 的 协议 ， 其 安全 性 优 于 其 他 类 型 的 VPN。IPSec 与 L2TP 
All MPLS 并 不 相互 排斥 ， 而 是 可 以 结合 使 用 的 。 在 基于 L2TP 或 MPLS 构建 VPN 时 ， 如 
果 需 要 “绝对 ”的 安全 保障 ， 则 可 以 与 IPSec 结合 使 用 。 

除了 以 上 讨论 的 各 种 类 型 的 VPN 之 外 ,还 有 许多 其 他 类 型 的 VPN。 例 如 ,在 RFC2003 
中 还 定义 了 一 种 “IP 中 的 《IP-in-IP)” 隧 道 技术 。 它 常 被 看 做 NAT 技术 的 一 种 变形 。 
IP-in-IP VPN 被 单独 使 用 时 ， 不 提供 任何 加 密 和 认证 。 

最 后 必须 强调 的 是 : 安全 问题 是 一 个 系统 问题 , 不 仅 取 决 于 VPN 的 这 些 隧 道 协议 自 
身 的 安全 性 ， 还 取决 于 网 络 中 采用 的 其 他 技术 和 设备 的 安全 性 ， 以 及 所 采用 的 物理 安全 
措施 。 

通过 本 章 的 学 习 ， 要 求 读者 掌握 VPN 的 基本 概念 和 分 类 ， 了 解构 建 VPN 的 各 种 隧 
道 协议 ， 掌 握 IPSec VPN. TLS VPN, PPTP VPN 和 MPLS VPN 的 概念 、 工 作 原理 和 优 
Eo IPSec VPN 既 适 合 于 构建 LAN-to-LAN 型 的 VPN 连接 , 也 适合 于 构建 Client-LAN 
型 的 VPN 连接 ;TLS VPN 和 PPTP VPN 则 仅 支持 Client-LAN 型 的 VPN 连接 ; MPLS VPN 
适用 于 用 户 数量 众多 、 流 量 很 大 、 媒 体格 式 多 样 的 城 域 网 应 用 ， 它 也 可 以 与 PSec VPN 
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结合 起 来 使 用 ， 以 获得 更 高 的 安全 性 。 在 实际 应 用 中 ， 究 竞选 择 何 种 类 型 的 VPN， 需 要 
根据 企业 或 组 织 的 安全 策略 和 安全 需求 而 定 。 希 望 读 者 能 将 本 章 学 到 的 知识 运用 到 实践 

















中 去 。 
习 题 
一 、 填 空 题 
1. 根据 访问 方式 的 不 同 ，VPN 可 以 分 为 和 两 种 类 型 。 
2. VPN 的 关键 技术 包括 3 x § All 等 
3. 第 2 层 隧 道 协议 主要 有 和 3 个 协议 。 
4. 第 3 层 隧道 协议 主要 有 和 3 个 协议 。 
5. IPSec 的 主要 功能 是 实现 加 密 、 认 证 和 密 钥 交 换 ， 这 3 个 功能 分 别 由 š 
All 3 个 协议 来 实现 。 
6. IPSec VPN 主要 由 š $ All 5 个 模 
块 组 成 。 
7. IPSec 在 OSI 参考 模型 的 层 提供 安全 性 。 
A. 应 用 B. 传输 C. 网 络 D. 数据 链 路 
8. ISAKMP/Oakley 与 相关 。 
A. SSL B. SET C. SHTTP D. IPSec 
9. IPSec 中 的 加 密 是 由 完成 的 。 
A. AH B. TCP/IP C. IKE D. ESP 
10. 在 情况 下 ，IP 头 才 需要 加 密 。 
A. 信道 模式 B. 传输 模式 
C. 信道 模式 和 传输 模式 D. 无 模式 
二 、 思 考题 
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1. 如 何 理解 虚拟 专用 网 络 中 的 “虚拟 ”和 “专用 ”? 

2. 什么 是 VPN? 一 个 好 的 VPN 应 具备 哪些 特点 ? 

3. VPN 的 安全 性 因素 有 哪些 ? 

4. IPSec 有 哪 两 种 工作 模式 ?如何 通过 数据 包 格式 区 分 这 两 种 工作 模式 ? 
5. 在 有 IPSec 保护 的 IP 数据 报 中 ,“ 认 证 头 ”(AH) 起 什么 作用 ? 

6. 请 解释 一 下 AH 和 ESP 协议 。 

7. IPSec 和 IKE 的 关系 是 什么 ? 

8. 简 述 TLS VPN 的 工作 原理 ， 并 指出 其 优 缺点 。 

9. 简 述 PPTP VPN 的 工作 原理 ， 并 指出 其 优 缺 点 。 

10. 简 述 MPLS VPN 的 工作 原理 ， 并 指出 其 优 缺 点 。 

11. 请 制作 一 个 表格 ， 详 细 比 较 IPSec VPN. SSL VPN. PPTP VPN 和 MPLS VPN 的 
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功能 特点 。 
12. 你 认为 IPSec VPN 能 代替 SSL VPN 吗 ? SSL VPN 能 代 蔡 IPSec VPN 吗 ? 为 
什么 ? 


13. 画 出 各 类 VPN 在 网 络 拓扑 图 中 所 处 的 位 置 。 
14. 尝试 通过 阅读 文档 , 熟悉 、 配 置 Linux 操作 系统 下 的 VPN 工具 一 一 FreeSWAN。 
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在 充满 竞争 的 现实 社会 中 ， 身 份 欺诈 时 有 发 生 。 为 了 防止 身份 欺诈 ， 常 常 需要 个 人 
身份 认证 。 通 信和 数据 系统 的 安全 性 也 取决 于 能 否 正确 验证 用 户 或 终端 的 个 人 身份 。 例 
如 ， 银 行 的 自动 柜员 机 (Automatic Teller Machine, ATM) 可 将 现金 发 给 经 它 正确 识别 
的 账号 持 卡 人 ， 从 而 提高 银行 的 工作 效率 和 服务 质量 。 计 算 机 的 访问 和 使 用 、 安 全 区 的 
出 入 ， 也 都 以 精确 的 身份 认证 为 基础 。 

传统 的 身份 证 明 一 般 是 通过 检验 “ 物 ” 的 有 效 性 来 确认 该 物 持 有 者 的 身份 。“ 物 ”可 
以 为 徽章 、 工 作证 、 信 用 卡 、 鸭 驶 证 、 身 份 证 、 护 照 等 ， 卡 上 含有 个 人 照片 〈 易 于 换 成 
指纹 、 视 网 膜 图 样 、 牙 齿 的 X 光照 相等 )， 并 有 权威 机 构 签 章 。 过 去 这 类 靠 人 工 进 行 的 
识别 工作 现在 已 逐步 由 机 器 代替 。 在 信息 化 社会 中 ， 随 着 信息 业务 的 扩大 ， 要 求 验 证 的 
对 象 集合 也 迅速 加 大 ， 因 而 大 大 增加 了 身份 验证 的 复杂 性 和 实现 的 困难 性 。 例 如 ， 银 行 
自动 转账 系统 中 可 能 有 上 百 万 个 用 户 ， 若 用 个 人 识别 号 (Personal Identification Number, 
PIN)， 至 少 需要 6 位 十 进 制 数字 。 若 要 用 户 个 人 签字 来 代替 PIN， 必 须 能 区 分 数 以 百 万 
计 的 人 的 签字 。 

目前 ， 一 些 采 用 电子 方式 实现 个 人 身份 证 明 的 方法 均 存 在 安全 风险 。 例 如 ， 从 银行 
的 ATM 机 取款 时 需要 将 信用 卡 和 PIN 送 入 其 中 ;电话 购 货 需 证 实 信用 卡 的 号 码 ， 用 电 
话 公司 发 行 的 电话 卡 支付 长 途 电话 费 需 验证 4 位 十 进 制 的 PIN: 网 站 登录 时 需 输 入 用 户 
的 名 字 和 口令 等 。 但 是 ， 现 实 社会 中 的 攻击 者 常常 使 这 类 简单 的 身份 验证 方法 失效 。 

如 何 实现 安全 、 准 确 、 高 效 和 低 成 本 的 数字 化 认证 ， 是 目前 网 络 安全 实践 中 的 一 个 
热点 。 本 章 将 讨论 几 种 常用 的 身份 认证 技术 ， 如 口令 认证 系统 、 基 于 个 人 生物 特征 的 身 
份 证 明 及 一 次 性 口令 身份 认证 系统 等 。 


15.1.1 身份 欺诈 
下 面 给 出 一 些 例子 ， 说 明 几 种 可 能 的 身份 欺诈 的 方式 。 


1. 象棋 大 师 问 题 (The Chess Grandmaster Problem) 

A 不 懂 象 棋 ， 但 可 向 Kasparov 和 Karpov 同时 挑战 ， 在 同一 时 间 和 地 点 (不 在 一 个 
房间 ) 进行 对 弈 ， 以 白 子 棋 对 前 者 、 以 黑子 棋 对 后 者 ， 而 两 位 大 师 彼此 不 交流 , 如 图 15-1 
所 示 。Karpov 持 白 子 棋 先 下 一 步 ，4 记 下 该 步 并 下 同样 一 招 棋 对 付 Kasparov， 而 后 看 
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Kasparov 如 何 下 黑子 棋 ，4 记 下 这 第 二 步 并 下 同样 一 招 棋 对 付 Karpov， 依 此 类 推 。 在 这 
场 博弈 中 ，4 是 中 间 人 ， 他 实施 的 就 是 一 种 中 间 人 欺诈 攻击 。 

Karpov Kasparov 
A 


图 15-1 象棋 大 师 问 题 























2. Mafia 欺诈 

A 在 Mafia 集团 成 员 B 开 的 饭馆 吃饭 ，Mafia 集团 另 一 成 员 C 到 D 的 珠宝 店 购买 珠 
宝 ，B 和 C 之 间 有 秘密 无 线 通 信 联 络 ，4 AD 不 知道 其 中 有 诈 。4 向 B 证 明 A 的 身份 并 
付 账 ，B 通知 C 开始 欺骗 ，4 向 B 证 明 身 份 ，B 经 无 线 通知 C，C 以 同样 协议 向 D 证明 
身份 。 当 DD 询问 C 时 ，C 经 8 向 4 问 同 一 问题 ，B 再 将 4 的 回答 告诉 C，C D 回答， 
如 图 15-2 FR. KERE, BA C 起 到 中 间 人 作用 而 完成 4 向 D 的 身份 证 明 ， 达 到 了 C 
向 DD 购买 了 珠宝 ， 而 把 账 记 在 4 的 账 上 的 目的 。 这 是 中 间 人 B 和 C 合伙 进行 的 欺诈 。 


are 
A Eg e kee EY 


图 15-2 中 间 人 合伙 欺诈 


























3. 恐怖 分 子 欺诈 
假定 C 是 一 名 恐怖 分 子 ，4 要 帮助 C 进 入 某国 ，D 是 该 国 移民 局 官员 ,4 和 C 之 间 
用 秘密 无 线 电 联络 ， 如 图 15-3 所 示 。4 协助 C 得 到 刀 的 入 境 签证 。 


无 线 > 

4 i ¢ =] » 
有 合法 身份 者 BOF BRE 
图 15-3 另 一 种 中 间 人 合伙 欺诈 


这 类 欺诈 攻击 可 以 用 防 电磁 辐射 和 精确 时 截 等 技术 来 抗击 。 

4. 多 身份 欺诈 (Multiple Identity Fraud) 

4 首先 建立 几 个 身份 并 向 外 公布 。 其 中 之 一 他 从 未 用 过 ， 他 以 这 一 身份 作案 ， 并 只 
用 一 次 ， 除 目击 者 〈Witness) 外 无 人 知道 犯罪 人 的 个 人 身份 。 由 于 4 不 再 使 用 此 身份 ， 
警方 无 法 跟踪 。 采 用 一 种 身份 证 颁发 机 构 确保 每 人 只 有 一 个 身份 证 ， 就 可 抗击 这 类 欺诈 。 


15.1.2 ”身份 证 明 系 统 的 组 成 和 要 求 


身份 证 明 系统 一 般 由 三 方 组 成 : 一 方 是 出 示 证 件 的 人 ， 称 做 示 证 者 (Prover)， 又 称 
做 申请 者 Claimant)， 他 提出 某 种 入 门 或 入 网 请 求 ， 男 一 方 为 验证 者 (Verifier)， 检 验 
示 证 者 出 示 证 件 的 正确 性 和 合法 性 ， 决 定 是 否 满足 其 要 求 ; 第 三 方 是 攻击 者 ， 他 可 以 窃 
听 并 伪装 示 证 者 骗取 验证 者 的 信任 。 认 证 系统 在 必要 时 也 会 有 第 四 方 ， 即 可 信者 ， 他 的 
作用 是 参与 调解 纠纷 。 称 此 类 技术 为 身份 证 明 技 术 ， 又 称 做 身份 识别 〈Identification)、 
实体 认证 (Entity Authentication)、 身 份 验 证 〈Identity Verification) 等 。 实 体 认 证 与 消息 
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认证 的 差别 在 于 : 消息 认证 本 身 不 具有 时 间 性 ， 而 实体 认证 一 般 都 具有 实时 性 。 此 外 ， 
实体 认证 通常 证 实 实体 本 身 ， 而 消息 认证 除了 证 实 消息 的 合法 性 和 完整 性 外 ， 还 要 知道 
消息 的 含义 。 

对 身份 证 明 系 统 的 要 求 如 下 : 

(1) 验证 者 正确 识别 合法 示 证 者 的 概率 极 大 化 。 

(2) 不 具有 可 传递 性 〈Transferability)， 验 证 者 B 不 可 能 重用 示 证 者 4 提供 给 他 的 
信息 来 伪装 示 证 者 4 去 骗取 其 他 人 的 验证 而 获取 信任 。 

G) 攻击 者 伪装 示 证 者 欺骗 验证 者 成 功 的 概率 要 小 到 可 以 忽略 的 程度 ， 特 别 是 要 能 
抗击 已 知 密 文 攻击 ， 即 能 防止 攻击 者 在 截获 示 证 者 和 验证 者 多 次 通信 后 伪装 示 证 者 以 其 
骗 验证 者 。 

(4) 计算 有 效 性 为 实现 身份 证 明 所 需 的 计算 量 要 小 )。 

(5) 通信 有 效 性 (为 实现 身份 证 明 所 需 通 信 次 数 和 数据 量 要 小 )。 

(6) 秘密 参数 能 安全 存储 。 

(7) 交互 识别 (在 有 些 应 用 中 ， 要 求 双方 能 互相 进行 身份 认证 )。 

(8) 第 三 方 的 实时 参与 ， 如 在 线 公 钥 检 索 服 务 。 

(9) 第 三 方 的 可 信人 性 。 

(10) 可 证 明 安 全 性 。 

其 中 ，(7) ~ 〈10) 是 对 某 些 身份 证 明 系 统 所 提出 的 要 求 。 

身份 识别 与 数字 签名 密切 相关 。 数 字 签名 是 实现 身份 识别 的 一 个 途径 ， 但 在 身份 识别 
中 消息 的 语义 基本 上 是 固定 的 ， 身 份 验证 者 根据 规定 对 当前 时 刻 申请 者 提出 的 申请 或 接受 
或 拒绝 。 身 份 识别 一 般 不 是 “终生 ”的 ， 而 数字 签名 则 应 长 期 有 效 ， 在 未 来 仍 可 启用 。 


15.1.3 ”身份 证 明 的 基本 分 类 


身份 证 明 可 分 为 以 下 两 大 类 。 

(1) 身份 验证 。 它 要 回答 这 样 一 个 问题 一 一 “你 是 否 是 你 所 声称 的 你 ?” 即 只 对 个 
人 身份 进行 肯定 或 否定 。 一 般 方法 是 : 在 个 人 信息 输入 后 ， 系 统 将 经 公式 和 算法 运算 所 
得 的 结果 与 从 卡 上 《或 库 中 ) 存储 的 信息 经 公式 和 算法 运算 所 得 结果 进行 比较 ， 根 据 比 
较 结果 得 出 结论 。 

D 身份 识别 。 它 要 回答 这 样 一 个 问题 一 一 “我 是 否 知 道 你 是 谁 ?”” 一 般 方法 是 : 
在 个 人 信息 输入 后 ， 系 统 将 其 加 以 处 理 后 提取 出 模板 信息 ， 并 试 着 在 存储 数据 库 中 搜索 
出 一 个 与 之 匹配 的 模板 ， 而 后 给 出 结论 。 例 如 ， 确 定 一 个 犯罪 嫌疑 人 是 否 曾 有 前 科 的 指 
纹 检验 系统 就 是 一 个 身份 识别 系统 。 

显然 ， 身 份 识别 要 比 身份 验证 难得 多 。 读 者 可 以 通过 一 些 实例 仔细 体会 身份 验证 系 
统 和 身份 识别 系统 之 间 存 在 的 差异 。 


15.1.4 ”实现 身份 证 明 的 基本 途径 


身份 证 明 可 以 依靠 下 述 3 种 基本 途径 之 一 或 组 合 实现 ， 如 图 15-4 所 示 。 
(1) 所 知 (Knowledge): 个 人 所 知道 的 或 所 掌握 的 知识 ， 如 密码 、 口 令 等 。 
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(2) 所 有 (Possesses): 个 人 所 具有 的 东西 ， 如 身份 证 、 护 照 、 信 用 卡 、 钥 匙 等 。 
(3) 个 人 特征 (Characteristics): 如 指纹 、 笔 迹 、 声 纹 、 手 型 、 脸 型 、 血 型 、 视 网 膜 、 
虹膜 、DNA 及 个 人 一 些 动作 方面 的 特征 等 。 


所 知 
Sind 
图 15-4 ”身份 证 明 的 基本 途径 


根据 安全 水 平 、 系 统 通过 率 、 用 户 可 接受 性 、 成 本 等 因素 ， 可 以 选择 适当 的 组 合 设 
计 实 现 一 个 自动 化 身份 证 明 系 统 。 

身份 证 明 系统 以 合法 用 户 遭 拒绝 的 概率 〈 即 拒绝 率 〈False Rejection Rate, FRR) 或 
BRE I 型 错误 率 )) 和 非法 用 户 伪 造 身 份 成 功 的 概率 ( 即 漏 报 率 (False Acceptance Rate, 
FAR) ( 开 型 错误 率 )) 作为 服务 质量 评价 指标 。 为 了 保证 系统 有 良好 的 服务 质量 ， 要 求 
I 型 错误 率 要 足够 小 ; 为 保证 系统 的 安全 性 ， 要 求 开 型 错误 率 也 要 足够 小 。 这 两 个 指标 
常常 是 相悖 的 ， 应 根据 不 同 的 用 途 进 行 适当 的 折 中 选择 ， 如 为 了 安全 【〈 降 低 FAR) 牺牲 
一 点 服务 质量 〈 增 大 FRR)。 设 计时 除了 考虑 安全 性 外 ， 还 要 考虑 经 济 性 和 可 用 性 。 


152 口令 认证 系统 





15.2.1 概述 


口令 是 一 种 根据 已 知事 物 验 证 身份 的 方法 ， 也 是 一 种 被 广泛 使 用 的 身份 验证 方法 。 
在 现实 世界 中 ， 采 用 口令 的 例子 不 胜 枚 举 : 如 中 国 古 代 调 兵 用 的 虎 符 、 阿 里 巴巴 打开 魔 
洞 的 “芝麻 ”密语 、 军 事 上 采用 的 各 种 口令 及 现代 通信 网 的 访问 控制 协议 。 大 型 应 用 系 
统 的 口令 通常 采用 一 个 长 为 558 个 字符 的 字符 串 。 口令 的 选择 原则 为 : @ 易 记 ; OWL 
被 别人 猜 中 或 发 现 ，@ 能 抵御 蛮 力 破解 分 析 。 在 实际 系统 中 ， 需 要 考虑 和 规定 口令 的 选 
择 方法 、 使 用 期 限 、 字 符 长 度 、 分 配 和 管理 及 在 计算 机 系统 内 的 存储 保护 等 。 根 据 系 统 
对 安全 水 平 的 要 求 ， 用 户 可 选择 不 同 的 口令 方案 。 

在 口令 的 选择 方法 上 ，Bell 实验 室 也 做 过 一 些 试验 。 结 果 表明 ， 让 用 户 自由 选择 自 
已 的 口令 ， 虽 然 易 记 ， 但 往往 带 有 个 人 特点 ， 容 易 被 别人 推测 出 来 。 而 完全 随机 选择 的 
字符 串 又 太 难 记忆 ， 难 以 被 用 户 接受 。 较 好 的 办 法 是 以 可 拼 读 的 字 节 为 基础 构造 口令 。 
例如 ， 若 限定 字符 串 的 长 度 为 8 字符， 在 随机 选取 时 可 有 2.110" 种 组 合 ， 车 限定 可 拼 
读 时 ， 可 能 的 选取 个 数 只 为 随机 选取 时 的 2.7%， 但 仍 有 5.54X10 之 多 。 而 普通 英语 大 
词典 中 的 字数 不 超过 2.5 X 10° 个 。 

一 个 更 好 的 办 法 是 采用 通行 短语 (Pass Phrases) 代替 口令 ， 通 过 密 钥 碾 压 (Key 
Crunching) 技术 ,如 杂凑 函数 ,可 将 易于 记忆 的 足够 长 的 短语 变换 为 较 短 的 随机 性 密 钥 。 

口令 分 发 系统 的 安全 性 也 不 容 忽视 。 口 令 可 由 用 户 个 人 选择 ， 也 可 由 系统 管理 员 选 
系统 自动 产生 。 有 人 认为 ， 用 户 专 用 口令 不 应 让 系统 管理 员 知道 ， 并 提出 一 种 实 
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现 方法 。 用 户 的 账号 与 他 选 定 的 护 字符 组 合 后 ， 在 银行 职员 看 不 到 的 地 方 输入 系统 ， 通 
过 单 向 加 密 函 数 加 密 后 存 入 银行 系统 中 。 当 访问 系统 时 ， 将 账号 和 口令 通过 单 向 函数 变 
换 后 送 入 银行 系统 ， 通 过 与 存储 的 值 相 比 较 进 行 验证 。 若 用 户 忘记 了 自己 的 口令 ,可 以 
再 选 一 个 并 重新 办 理 登记 手续 。 当 前 ， 银 行 ( 如 中 国 银行 等 通常 为 用 户 颁发 一 次 性 
令 令 牌 ， 用 户 持 令 牌 进行 网 上 银行 的 操作 ， 此 举 使 网 上 银行 的 安全 性 大 大 提高 。 有 关 一 
次 性 口令 系统 的 内 容 将 在 15.4 节 中 进行 详细 介绍 。 

图 15-5 给 出 了 一 种 单 向 函数 检验 口令 框图 。 有 时 系统 需要 双向 认证 ， 即 不 仅 系统 要 
检验 用 户 的 口令 ， 用 户 也 要 检验 系统 的 口令 。 在 这 种 情况 下 ， 如 何 确保 一 方 在 另 一 方 给 出 
口令 之 前 不 会 受到 对 方 的 欺骗 是 一 个 关键 问题 。 图 15-6 给 出 一 种 双方 互 换 口令 的 安全 验 
证 方法 : 甲 、 乙 分 别 以 P、Q 作为 护 字符 。 为 了 验证 ， 他 们 彼此 都 知道 对 方 的 口令 ， 并 通 
过 一 个 单 向 函数 进行 响应 。 例 如 ， 若 甲 要 联系 乙 ， 甲 先 选 一 随机 数 xi 送 给 乙 ， 乙 用 O 
F x WEE ASO, x1) 送 给 甲 ， 甲 将 收 到 的 yy 与 自己 计算 的 f(O, xD 进行 比较 ， 若 相同 ， 则 
验证 了 乙 的 身份 : 同样 ， 乙 也 可 选 随机 数 x 送 给 甲 ， 甲 将 计算 的 y= 了 (P,x) 回 送 给 乙 , Z 
将 所 收 到 的 与 他 自己 计算 的 值 进行 比较 ， 若 相同 ， 就 验证 了 甲 的 身份 。 



























































甲 方 乙方 
护 字 符 P PEO 
参考 值 O 参考 值 P 

选 出 随机 数 Le x, 
y= AQ, x) 

mfi 42 
ama CO yı $ fQ, xı) 

Spaa 选 随机 数 x， 

MP, x» =y 
I Wi y3 LAP, x) 

图 15-5 一 种 单 向 函数 检验 口令 框图 图 15-6 一 种 双方 互 换 口令 的 安全 验证 方法 


为 了 解决 因 口 令 短 而 造成 的 安全 性 低 的 问题 ， 常 在 口令 后 填充 随机 数 ， 如 在 16b 
(4 位 十 进 制 数字 ) 护 字 符 后 附加 40b 随机 数 Ri， 构 成 56b 数字 序列 进行 运算 ， 形 成 
JrF (Q, Ri, x1) (15-1) 





这 会 使 安全 性 大 为 提高 。 
上 述 方法 仍 未 解决 谁 先 向 对 方 提供 口令 和 随机 数 的 难题 。 
可 变 口令 也 可 由 单 向 函数 来 实现 。 这 种 方法 只 要 求 交 换 一 对 口令 而 不 是 口令 表 。 令 
了 为 某 个 单 向 函数 ，x 为 变量 。 定 义 
LOAST) (15-2) 
甲 取 随机 变量 x， 并 计算 
yo=f "(x) (15-3) 
送 给 乙 。 甲 将 y=f”!(x) 作 为 第 一 次 通信 用 口令 。 乙 收 到 yy 后 计算 f(y)， 并 检验 与 yo 是 
否 相同 ， 车 相同 ， 则 将 y 存 入 备用 。 甲 第 二 次 通信 时 发 yf O. LKE yo a, WHE 
fw)， 并 检验 是 否 与 yy 相同 ， 依 此 类 推 。 这 样 一 直 可 用 次 。 若 中 间 数 据 丢失 或 出 错 ， 
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甲 可 向 乙 提 供 最 近 的 取 值 ， 以 求 重新 同步 ， 而 后 乙 可 按 上 述 方法 进行 验证 。 

一 个 更 安全 但 较 费时 的 身份 验证 方法 是 询问 法 〈Questionaries)。 业 务 受 理 者 可 利 上 
他 知道 而 别人 不 知道 的 一 些 信息 向 申请 用 户 进 行 提问 。 他 可 提问 一 系列 互 不 相关 的 问题 ， 
如 你 原来 的 中 学 校长 是 谁 ? 祖母 多 大 年 纪 ? 某 作品 的 作者 是 谁 ? 等 。 回 答 不 必 都 完全 正 
确 ， 只 要 足以 证 实用 户 身份 即 可 。 应 选择 一 些 易于 记忆 的 事务 并 让 验证 者 预先 记 住 。 这 
只 适用 于 安全 性 高 又 允许 耗 时 的 情况 。 


15.2.2 口令 的 控制 措施 


(1) 系统 消息 (System Message). 一 般 系 统 在 联机 和 脱 机 时 都 显示 一 些 礼貌 性 用 语 ， 
而 成 为 识别 该 系统 的 线索 ， 因 此 这 些 系统 应 当 可 以 抑制 这 类 消息 的 显示 ， 口 令 当 然 更 不 
能 显示 。 

(2) 限制 试探 次 数 。 不 成 功 传送 口令 一 般 限 制 为 3 一 6 次 ， 超 过 限定 试验 次 数 ， 系 统 
将 该 用 户 ID 锁定 ， 直 到 重新 认证 授权 后 再 开启 。 

(3) 口令 有 效 期 。 限 定 口令 的 使 用 期 限 。 

(4) 双 口 令 系统 。 首 先 输入 联机 口令 ,在 接触 敏感 信息 时 还 要 输入 一 个 不 同 的 口令 。 

(5) 最 小 长 度 。 限 制 口令 至 少 为 6 一 8B 以 上 ， 防 止 猜测 成 功 的 概率 过 大 ， 可 采用 掺 
杂 (Salting) 或 采用 通行 短语 (Passphrase) 等 加 长 和 随机 化 。 

(6) 封锁 用 户 系 统 。 可 以 封锁 长 期 未 联机 用 户 或 口令 超过 使 用 期 用 户 的 ID 号 ， 直 到 
用 户 重 新 被 授权 。 

(7) 根 (Root) 口令 的 保护 。 根 口令 是 系统 管理 员 访问 系统 时 所 用 的 口令 ， 由 于 系 
统管 理 员 被 授予 的 权力 远大 于 一 般 用 户 ， 因 此 管理 员 口 令 自然 成 为 攻击 者 的 攻击 目标 。 
因此 ， 管 理 员 口 令 在 选择 和 使 用 中 要 倍加 保护 。 管 理 员 口令 通常 必须 采用 十 六 进 制 字符 
串 ， 不 能 通过 网 络 传送 ， 并 且 要 经 常 更 换 。 

(8) 系统 生成 口令 。 有 些 系统 不 允许 用 户 自己 选 定 口令 ， 而 是 由 系统 生成 和 分 配 。 
系统 如 何 生成 易 记 忆 又 难以 被 猜 中 的 口令 是 要 解决 的 一 个 关键 问题 。 如 果 口 令 难以 记忆 ， 
则 用 户 要 将 其 写 下 来 ， 这 反而 增加 了 口令 泄漏 的 风险 ， 若 系统 的 口令 生成 算法 被 窍 ， 则 
更 加 危险 ， 因 为 这 将 危及 整个 系统 的 安全 。 


15.2.3 口令 的 检验 


1. 反应 法 (Reactive) 

利用 一 个 程序 (Cracker) 让 被 检 口 令 与 一 批 易 于 猜 中 的 口令 表 中 的 成 员 逐 个 比较 ， 
若 都 不 相符 ， 则 通过 。 

ComNet 的 反应 口令 检验 (Reactive Password Checking) 程序 大 约 可 以 猜 出 近 1/2 的 
口令 。Raleigh 等 设计 的 口令 验证 系统 CRACK 利用 网 络 服 务 器 分 析 口 令 。 美 国 Purdue 
大 学 研制 出 了 OPUS 口令 分 析 选 择 软 件 。 

这 类 反应 检验 法 的 缺点 是 : 四 检验 一 个 口令 太 费 时 间 ， 一 个 攻击 者 可 能 要 用 几 小 时 
甚至 几 天 来 攻击 一 个 口令 ; @ 现 用 口令 都 有 一 定 的 可 猜 性 ， 但 如 果 直 到 采用 反应 检验 后 
用 户 才 更 换 口令 ,会 存在 一 定 的 安全 隐患 。 
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2. 支持 法 (Proactive) 

用 户 先 自行 选择 一 个 口令 。 当 用 户 第 一 次 使 用 该 口令 时 ， 系 统 利 用 一 个 程序 检验 其 
安全 性 。 如 果 口 令 易于 猜 中 ， 则 拒绝 登录 ， 并 请 用 户 重 新 选 一 个 口令 。 程 序 通过 准则 要 
考虑 在 可 猜 中 性 与 安全 性 之 间 取 得 折 中 : 若 检验 算法 太 严格 ， 则 造成 用 户 所 选 口令 屡 遭 
拒绝 ， 从 而 招致 用 户 报 怨 ;如果 检 验算 法 太 宽松 ， 则 很 易 猜 中 的 口令 也 能 通过 检验 ， 这 
会 影响 系统 的 安全 性 。 


15.24 ”口令 的 安全 存储 


1. 一 般 方法 

CD 用 户 的 口令 多 以 加 密 形式 存储 ， 入 侵 者 要 得 到 口令 ,必须 知道 加 密 算法 和 密 钥 。 
算法 可 能 是 公开 的 ， 但 密 钥 只 有 管理 员 才 知道 。 

(2) 许多 系统 可 以 存储 口令 的 单 向 杂凑 值 ， 入 侵 者 即使 得 到 此 杂凑 值 也 难以 推算 出 
口令 的 明文 。 


2. UNIX 系统 中 的 口令 存储 

口令 为 8 个 字符 ， 采 用 7bASCI[ 码 ， 即 56b 串 ， 加 上 12b 填充 〈 一 般 为 用 户 输入 口 
令 的 时 间 信 息 )。 第 一 次 输入 64b 全 “0” 数 据 进 行 加 密 ， 第 二 次 则 以 第 一 次 加 密 结果 作 
为 输入 数据 ， 和 迭代 25 次 ， 将 最 后 一 次 输出 变换 成 11 个 字符 〈 其 中 ， 每 个 字符 是 A 一 Z， 
a~z, 0~9, “0”, “1” FI 64 个 字符 之 一 ) 作为 口令 的 密 文 ， 如 图 15-7 所 示 。 












































64b 用 户 ID | 填充 | 加 密 口令 
全 "0" 数 据 
tome 
口令 56b |_| 
填充 (12b) DES 最 后 一 次 输出 
区 加 密 的 口令 “| 

















图 15-7 UNIX 系统 中 的 口令 存储 


检验 时 ， 用 户 发 送 ID 和 口令 。UNIX 系统 由 ID 检索 出 相应 填充 值 (12b)， 并 与 口 
令 一 起 送 入 加 密 装 置 算出 相应 密 文 ， 与 从 存储 器 中 检索 出 的 密 文 进行 比较 ， 若 一 致 则 通 
3. 用 智能 卡 令 牌 (Token) 产生 一 次 性 口令 


这 种 口令 在 本 质 上 是 由 一 个 随机 数 生成 器 产生 的 ， 可 以 由 安全 服务 器 用 软件 生成 ， 
一 般 用 于 第 三 方 认 证 ， 智 能 卡 认证 系统 如 图 15-8 所 示 。 














| 3) 用户 PIN (用户 ID | | OMAD | 


















































智 令 

能 牌 至 -| 

sy (4 OTP 5) 输入 OTP 6 OTP 

牌 | 外 生成 OIP | 人 |(5) 输 入 OTP | “| 加 输入 | 应 用 程序 | 用 户 证 实 
服务 器 














图 15-8 智能卡 认证 系统 
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利用 令 牌 产生 一 次 性 口令 的 优点 是 : OREO A RO BED EA; OHA 
需要 输入 PIN (只 有 持 卡 人 才 知 道 )， 因 此 ， 即 使 令 牌 被 偷 也 难以 用 其 进行 违法 活动 。 

如 美国 Secure Dynamics Inc. 的 Secure ID 卡 和 RSA 公司 的 Secur ID 令 牌 等 ， 均 用 来 
产生 这 类 一 次 性 口令 。 在 后 面 ， 还 会 对 一 次 性 口令 技术 进行 深入 讨论 。 


153 ”个 人 特征 的 身份 证 明 技 术 




















在 对 安全 性 要 求 较 高 的 系统 中 , 由 护 字符 和 持 证 等 方案 提供 的 安全 性 不 能 满足 要 求 ， 
因为 护 字 符 可 能 被 泄漏 、 证 件 可 能 丢失 或 被 伪造 。 更 高 级 的 身份 验证 方案 是 根据 被 授权 
用 户 的 个 人 生物 特征 来 进行 认证 ， 这 是 一 种 可 信 度 高 而 又 难以 伪造 的 身份 验证 方法 。 这 
种 方法 早已 用 于 刑事 案件 的 侦破 中 。 自 1870 年 开始 , 法 国人 采用 Bertillon 体制 对 人 的 前 
臂 、 手 指 长 度 、 身 高 、 足 长 等 进行 测试 ， 它 根据 人 体 测 量 学 〈Anthropometry) 进行 身份 
验证 。 这 种 方法 比 指纹 还 精确 ， 自 使 用 以 来 还 未 发 现 过 两 个 人 的 数值 完全 相同 的 情况 。 
伦敦 市 警 厅 已 于 1900 年 采用 了 这 一 体制 。 

新 的 生物 统计 学 (Biometrics ) 方 法 正在 成 为 实现 个 人 身份 认证 最 简单 而 安全 的 方法 。 
它 利用 个 人 的 生物 特征 来 实现 身份 认证 。 一 个 人 的 生物 特征 包括 很 多 方面 ， 有 静态 的 ， 
也 有 动态 的 ， 如 容貌 、 肤 色 、 发 长 、 身 材 、 姿 势 、 手 印 、 指 纹 、 脚 印 、 层 印 、 颅 相 、 口 
音 、 脚 步 声 、 体 味 、 视 网 膜 、 血 型 、 遗 传 因子 、 笔 迹 、 习 惯性 签字 、 打 字 韵 律 及 在 外 界 
刺激 下 的 反应 等 。 当 然 ， 所 采用 的 认证 方式 还 要 为 被 验证 者 所 接受 。 有 些 检 验 项 目 ， 如 
层 印 、 足 印 等 虽然 认证 率 很 高 ， 但 因 难 于 被 人 们 接受 而 不 能 广泛 使 用 。 有 些 生 物 特征 可 
由 人 工 认证 ， 有 些 则 须 借助 仪器 ， 当 然 ， 不 是 所 有 场合 都 能 采用 生物 特征 识别 的 方式 。 
这 类 物理 认证 还 可 与 报警 装置 配合 使 用 ， 可 作为 一 种 “ 诱 陷 模 式 ”(Entrapment Module) 
在 重要 入 口 进 行 接 入 控制 ， 使 敌手 的 风险 加 大 。 由 于 个 人 特征 具有 因 人 而 异 和 随身 携带 
的 特点 ， 所 以 它 不 会 丢失 且 难 以 伪造 ， 非 常 适 用 于 个 人 身份 认证 。 

有 些 个 人 特征 会 随时 间 变 化 。 验 证 设备 必须 有 一 定 的 容 差 。 容 差 太 小 可 能 导致 系统 
不 能 正确 认 出 合法 用 户 ， 造 成 虚 警 概率 过 大 ;， 容 差 太 大 则 可 能 使 敌手 成 为 漏网 之 鱼 。 在 
实际 系统 设计 中 ， 要 在 这 两 者 之 间 做 出 最 佳 折 中 选择 。 有 些 个 人 特征 则 具有 终生 不 变 的 
特点 ， 如 DNA、 视 网 膜 、 虹 膜 、 指 纹 等 。 

目前 ， 这 类 产品 由 于 成 本 较 高 而 尚未 得 到 广泛 采用 ， 但 是 在 一 些 重 要 的 部 门 ， 如 银 
行 、 政 府 、 医 疗 、 商 业 、 军 事 、 保 密 、 机 场 等 系统 中 ， 已 经 逐步 得 到 应 用 。 下 面 介绍 几 
种 研究 较 多 且 具 有 实用 价值 的 身份 验证 体制 。 


15.3.1 手书 签字 验证 


传统 的 协议 、 契 约 等 都 以 手书 签字 生效 。 发 生 争执 时 ， 则 由 法 庭 判决 ， 一 般 都 要 经 
过 专家 鉴定 。 由 于 每 个 人 的 签名 动作 和 字迹 具有 明显 的 个 性 ， 因 此 手书 签名 可 作为 身份 

















427 


mm 网络 安 全 一 一 技术 与 实践 (第 3 版 ) mm 


验证 的 可 靠 依据 。 

于 形势 发 展 的 需要 ， 机 器 自动 识别 手书 签字 的 研究 得 到 了 广泛 的 重视 ， 成 为 模式 
识别 中 的 重要 研究 课题 之 一 。 机 器 识别 的 任务 有 二 : 一 是 签字 的 文字 含义 ;二 是 手书 的 
字迹 风格 。 后 者 对 于 身份 验证 尤为 重要 。 识 别 可 从 已 有 的 手迹 和 签字 的 动力 学 过 程 中 的 
个 人 动作 特征 出 发 来 实现 。 前 者 为 静态 识别 ， 后 者 为 动态 识别 。 静 态 验证 根据 字迹 的 比 
例 、 倾 斜 的 角度 、 整 个 签字 布局 及 字母 形态 等 实现 ; 动态 验证 根据 实时 签字 过 程 进行 证 
实 。 这 要 测量 和 分 析 书 写 时 的 节奏 、 笔 画 顺序 、 轻 重 、 断 点 次 数 、 环 、 拐 点 、 和 斜率 、 速 
度 、 加 速度 等 个 人 特征 。 英 国 物理 实验 室 研制 出 VERISIGN 系统 , 它 采 用 一 种 叫做 CHIT 
的 书写 垫 记录 签字 时 笔尖 的 运动 状况 ， 并 进行 分 析 得 出 结论 。IBM 公司 的 手书 验证 研究 
一 种 采用 加 速度 动态 识别 方法 , 但 分 辨 率 不 高 , 在 增加 了 测量 书写 笔 压 力 变化 的 装置 后 ， 
性 能 得 到 了 大 大 改进 。 I 型 错误 率 为 1.7%， 开 型 错误 率 为 0.4%， 目 前 已 有 实用 。Cadix 
公司 为 电子 贸易 设计 了 笔迹 识别 系统 。 笔 迹 识 别 软件 Penop 可 用 于 识别 委托 指示 、 验 证 
公司 审计 员 身 份 及 税收 文件 的 签字 等 ， 并 已 集成 到 Netscape 公司 的 Navigation 和 Adobe 
公司 的 Acrobat Exchange 软件 中 。Penop 成 为 软件 安全 工具 的 新 成 员 ， 它 将 对 Internet 的 
安全 发 挥 重 要 作用 。 

可 能 的 伪造 签字 类 型 有 两 种 : 一 种 是 不 知 真迹 时 按 得 到 的 信息 《如 银行 支票 上 印 的 
BF) 随手 签 的 字 ;， 另 一 种 是 已 知 真迹 时 的 模仿 签字 或 映 描 签字 。 前 者 比较 容易 识别 ， 
而 对 后 者 的 识别 则 相对 困难 。 

签字 系统 作为 接 入 控制 设备 的 组 成 部 分 时 ， 应 先 让 用 户 书写 几 个 签名 进行 分 析 ， 提 
取 适 当 的 参数 存档 备用 。 对 于 个 别 签字 一 致 性 极 差 的 人 要 特殊 对 待 ， 如 采用 容错 值 较 大 
的 准则 处 理 其 签字 。 


15.3.2 ”指纹 验证 


指纹 验证 早 就 用 于 契约 签证 和 侦察 破案 中 。 由 于 没有 两 个 人 的 指纹 完全 相同 ， 相 同 
的 可 能 性 不 到 10 0, 而 且 指 纹 形状 不 随时 间 而 变化 、 提取 指 纹 作为 永久 记录 存档 又 极为 
方便 ， 因 此 指纹 识别 成 为 进行 身份 验证 的 准确 而 可 靠 的 手段 。 每 根 手指 的 纹路 可 分 为 两 
KR: 环 状 和 涡 状 。 每 类 又 根据 其 分 又 等 细节 分 成 50 一 200 个 不 同 的 图 样 。 通 常 由 专家 
来 进行 指纹 识别 。 近 年 来 ， 许 多 国家 都 在 研究 计算 机 自动 识别 指纹 图 样 。 将 指纹 验证 作 
为 接 入 控制 手段 会 大 大 提高 计算 机 系统 的 安全 性 和 可 靠 性 。 但 由 于 指纹 验证 常 与 犯罪 联 
系 在 一 起 ， 人 们 从 心理 上 不 愿 接受 按 指 纹 。 目 前 ， 由 于 机 器 识别 指纹 的 成 本 已 经 大 大 降 
低 ， 所 以 高 端的 笔记 本 已 经 开始 使 用 指纹 识别 进行 身份 认证 。 

1984 年 ， 美 国 纽约 州 North White Plain 的 Fingermatrix 公司 宣称 其 研制 出 一 种 指纹 
阅读 机 (Ridge Reader) 和 个 人 接触 证 实 (Personal Touch Verification, PTV) 系统 ， 可 用 
于 计算 机 网 络 中 , 参考 文件 库 在 主机 之 中 。 系统 特点 如 下 : @ 阅 读 机 的 体积 约 为 0.028ma， 
AAHH: 四 新 用 户 注册 需 3 一 5 分 钟 ，@ 从 一 个 人 的 两 个 手指 记录 图 样 需 两 分 钟 ， 
存储 量 为 500 一 800 字 节 ; @ 每 次 访问 不 超过 5 秒 ; @ 能 自动 恢复 破损 的 指纹 ; © I 型 错 
误 率 小 于 0.1%: @@ 开 型 错误 率 小 于 0.001%; 轿 可 选择 俘获 和 存储 入 侵 者 的 指纹 。 每 套 
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设备 成 本 为 6000 美元 。Identix 公司 的 产品 Identix System 已 在 四 十 多 个 国家 使 用 ， 包 括 
美国 五 角 大 楼 的 物理 入 口 的 进出 控制 系统 。 

美国 的 FBI 已 成 功 地 将 小 波 理论 应 用 于 压缩 和 识别 指纹 图 样 ， 将 一 个 10Mb 的 指纹 
图 样 压缩 成 500kb， 大 大 减少 了 数 百 万 指纹 档案 的 存储 空间 和 检索 时 间 。 

全 世界 有 几 十 家 公司 经 营 和 开发 新 的 自动 指纹 身份 识别 系统 (AFIS )， 一 些 国家 已 
经 或 正在 考虑 将 自动 指纹 身份 识别 作为 身份 证 或 社会 安全 卡 的 有 机 组 成 部 分 ， 以 有 效 地 
防止 欺诈 、 假 冒 及 一 人 申请 多 个 护照 等 。 执 法 部 门 、 金 融 机 构 、 证 券 交易 、 福 利 金 发 放 、 
驾驶 证 、 安 全 入 口 控制 等 将 广泛 采用 AFIS. 


15.3.3 ”语音 验证 


每 个 人 的 语音 都 各 有 其 特点 ， 而 人 对 于 语音 的 识别 能 力 是 很 强 的 ， 即 使 在 强 干 扰 下 
也 能 分 辨 出 某 个 熟人 的 语音 。 在 军事 和 商业 通信 中 ， 常 常 根 据 对 方 的 语音 实现 个 人 身份 
验证 。 长 期 以 来 ， 人 们 一 直 在 研究 如 何 用 机 器 自动 识别 人 说 话 。 语 音 识别 技术 有 着 广泛 
的 应 用 ， 其 一 就 是 用 于 个 人 身份 验证 。 例 如 ， 将 对 每 个 人 讲 的 一 个 短语 所 分 析出 来 的 全 
部 特征 参数 存储 起 来 ， 如 果 每 个 人 的 参数 都 不 完全 相同 ， 就 可 实现 身份 验证 。 存 储 的 语 
音 特征 称 为 语 声 纹 (Voice-print)。 美 国 Texas 仪器 公司 曾 设计 一 个 16 个 字 集 的 系统 ; K 
国 AT&T 公司 为 拨号 电话 系统 研制 了 一 种 语音 口令 系统 (Voice Passsword System, VPS)， 
并 为 ATM 系统 研制 了 智能 卡 系统 。 这 些 系 统 均 以 语音 分 析 技 术 为 基础 。 

德国 汉堡 的 Philips 公司 和 西柏 林 的 Heinrich Hertz 研究 所 合作 研制 了 AUROS 自动 
说 话 人 识别 系统 , 该 系统 利用 语音 参数 实现 实用 环境 下 的 身份 识别 ,I 型 错误 率 为 1.6%, 
开 型 错误 率 为 0.8%。 在 最 佳 状态 下 ，I 型 错误 率 为 0.87%， 开 型 错误 率 为 0.94%， 明 显 
优 于 其 他 方法 。 美 国 Purdue 大 学 、Threshold Technology 公司 等 都 在 研究 这 类 验证 系统 。 
目前 ， 可 以 分 辩 数 百人 的 语 声 纹 识别 系统 的 成 本 可 降 至 1000 美元 以 下 。 

电话 和 计算 机 的 盗用 是 相当 严重 的 问题 ， 语 声 纹 识别 技术 可 用 于 防止 黑客 进入 语音 
函件 和 电话 服务 系统 。 


15.3.4 视网膜 图 样 验证 


人 的 视网膜 血管 图 样 〈 即 视网膜 脉络 ) 具有 良好 的 个 人 特征 。 采 用 视网膜 血管 图 样 
的 身份 识别 系统 已 在 研制 中 。 其 基本 方法 是 利用 光学 和 电子 仪器 将 视网膜 血管 图 样 记录 
下 来 ， 一 个 视网膜 血管 的 图 样 可 压缩 为 小 于 35B 的 数字 信息 ， 然 后 可 根据 对 图 样 的 节点 
和 分 支 的 检测 结果 进行 分 类 识别 。 被 识别 的 人 必须 充分 合作 ， 人 允许 采样 。 研 究 表明 ， 识 
别 验 证 的 效果 相当 好 。 如 果 注 册 人 数 小 于 200 万 ， 其 工 型 和 开 型 识别 的 错误 率 都 为 0， 
所 需 时 间 为 秒 级 ， 在 安全 性 要 求 很 高 的 场合 可 以 发 挥 作 用 。 由 于 这 种 系统 的 成 本 较 高 ， 
因此 目前 仅 在 军事 系统 和 银行 系统 中 采用 。 


15.3.5 “虹膜 图 样 验证 
虹膜 是 巩膜 的 延长 部 分 , 是 眼球 角膜 和 晶体 之 间 的 环形 薄膜 ,其 图 样 具 有 个 人 特征 ， 





























429 


mm 网络 安 全 一 一 技术 与 实践 (第 3 版 ) mm 


可 以 提供 比 指纹 更 细致 的 信息 。 虹 膜 图 样 可 以 在 35 一 40cm 的 距离 范围 内 采集 ， 比 采集 
视网膜 图 样 更 方便 ， 易 为 人 所 接受 。 存 储 一 个 虹膜 图 样 需要 256B， 所 需 的 计算 时 间 为 
100ms 其 工 型 和 开 型 错误 率 都 为 1133 000。 可 用 于 安全 入 口 、 接 入 控制 、 信 用 卡 、POS、 
ATM、 护 照 等 的 身份 认证 。 美 国 FiScan Inc. 已 研发 出 此 种 产品 。 


15.3.6 ”脸型 验证 


Harmon 等 设计 了 一 种 用 照片 识别 人 脸 轮 廓 的 验证 系统 。 对 100 个 “好 ”对 象 识别 结 
果 正 确 率 达 百 分 之 百 。 但 对 “ 差 ” 对 象 的 识别 要 困难 得 多 ， 要 求 更 细致 的 实验 。 对 于 不 
加 选择 的 对 象 集合 的 身份 验证 几乎 可 达到 完全 正确 。 这 一 研究 还 扩展 到 对 人 耳 形状 的 识 
别 ， 而 且 耳 形 识别 的 结果 令 人 鼓舞 ， 可 作为 司法 部 门 的 有 力 辅助 工具 。 目 前 有 十 几 家 公 
司 从 事 脸型 自动 验证 新 产品 的 研制 和 生产 。 这 些 产品 利用 图 像 识别 、 神 经 网 络 和 红外 扫 
描 探 测 人 脸 的 “热点 ”进行 采样 、 处 理 并 提取 图 样 信息 。 目 前 已 开发 出 能 存 入 5000 个 脸 
型 、 每 秒 可 识别 20 人 的 系统 。 未 来 的 产品 可 存 入 100 万 个 脸型 ， 但 识别 检索 所 需 的 时 间 
将 增加 到 两 分 钟 。Microsoft 公司 正在 开发 符合 Cyber Watch 技术 规范 的 Ture Face 系统 ， 
将 用 于 银行 等 部 门 的 身份 识别 系统 中 。 Visionics 公司 的 面部 识别 产品 Facelt ARGUS 已 用 
于 网 络 环境 中 ， 其 软件 开发 工具 (SDK) 可 以 集成 到 信息 系统 的 软件 系统 中 ， 作 为 金融 、 
接 入 控制 、 电 话 会 议 、 安 全 监视 、 护 照管 理 、 社 会 福利 发 放 等 系统 的 应 用 软件 。 


15.3.7 “身份 证 明 系 统 的 设计 


选择 和 设计 实用 身份 证 明 系统 并 非 易 事 。 Mitre 公司 曾 为 美国 空军 电子 系统 部 评价 过 
基地 设施 安全 系统 规划 , 并 分 析 比 较 了 语音 、 手 书签 字 和 指纹 3 种 身份 验证 系统 的 性 能 。 
分 析 表 明 , 选择 评价 这 类 系统 的 复杂 性 需要 从 很 多 方面 进行 研究 。 美国 NBS 的 自动 身份 
验证 技术 的 评价 指南 提出 了 下 述 12 个 需要 考虑 的 问题 : 

A) 抗 欺诈 能 力 。 

(2) 伪造 容易 程度 。 

(3) 对 于 设 陷 的 敏感 性 。 

(4) 完成 识别 的 时 间 。 

(5) 方便 用 户 。 

(6) 识别 设备 及 运营 的 成 本 。 

(7) 设备 使 用 的 接口 数目 。 

(8) 更 新 所 需 时 间 和 工作 量 。 

(9) 为 支持 验证 过 程 所 需 的 计算 机 系统 的 处 理工 作 。 

(10) 可 靠 性 和 可 维护 性 。 

(11) 防护 器 材 的 费用 。 

(12) 分 配 和 后 勤 支援 费用 。 

总 之 ， 设 计 身 份 认证 系统 主要 考虑 3 个 因素 : @ 安 全 设备 的 系统 强度 ; @@ 用 户 的 可 
接受 性 ，@ 系 统 的 成 本 。 
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和 4 ”一 次 性 口令 认证 





目前 ， 随 着 人 们 生活 中 信息 化 水 平 的 提高 ， 网 上 支付 、 网 上 划 账 等 网 上 金融 交易 行 
为 随 着 电子 商务 的 展开 越 来 越 普 及 ， 大 量 的 重要 数据 存储 在 网 络 数据 库 中 ， 并 通过 网 络 
共享 为 人 们 的 生活 提供 了 方便 ， 但 是 也 带 来 了 巨大 的 信息 安全 隐患 和 金融 风险 。 黑 客 攻 
击 的 主要 技术 有 以 下 几 种 : 缓冲 区 溢出 技术 、 木 马 技术 、 计 算 机 病毒 〈 主 要 是 宏 病 毒 和 
网 络 蠕虫 )、 分 布 式 拒绝 服务 攻击 技术 、 穷 举 攻击 (Brute Force). Sniffer 报 文 截获 等 。 
在 大 部 分 黑客 技术 文献 和 攻击 日 志 中 ， 我 们 发 现 一 个 很 重要 的 相似 特征 : 几乎 没有 多 少 
攻击 行为 是 针对 协议 和 密码 学 算法 的 ， 最 常见 的 攻击 方式 是 窃取 系统 口令 文件 和 窃听 网 
络 连接 , 以 获取 用 户 ID 和 口令 。 大 部 分 攻击 的 主要 目的 是 设法 得 到 用 户 ID 和 用 户 密码 ， 
只 要 获得 用 户 ID 和 密码 ， 所 有 敏感 数据 将 暴露 无 遗 。 因 此 ， 必 须 改进 基于 口令 的 登录 和 
验证 方法 ， 以 抵御 口令 窃取 和 搭 线 窃 听 攻 击 。 

一 次 性 口令 认证 就 是 在 这 一 背景 下 出 现 的 ， 它 的 主要 设计 思路 是 在 登录 过 程 中 加 入 
不 确定 因素 ， 通 过 某 种 运算 〈 通 常 是 单 向 函数 ， 如 MD-5 和 SHA) 使 每 次 登录 时 用 户 所 
使 用 的 密码 都 不 相同 ， 以 此 增强 整个 身份 认证 过 程 的 安全 性 。 

根据 不 确定 因素 的 选择 不 同 ， 一 次 性 口令 系统 可 以 分 为 不 同 的 类 型 。 下 面 将 对 现 用 
的 一 次 性 口令 方案 进行 详细 介绍 。 


15.4.1 ”挑战 /响应 机 制 
在 挑战/ 响应 机 制 中 ， 不 确定 因素 来 自 认证 服务 器 ， 用 户 要 求 登录 时 ， 服 务 器 产生 一 


个 随机 数 〈 挑 战 信 息 ) 发 送 给 用 户 ;用户 用 某 种 单 向 函数 将 这 个 随机 数 进行 杂凑 后 ， 转 
换 成 一 个 密码 ， 并 发 送 给 服务 器 。 服 务 器 用 同样 的 方法 进行 验算 即 可 验证 用 户 身份 的 合 


法 性 。 


挑战 /响应 机 制 认证 流程 如 图 15-9 所 示 。 
服务 器 

















eol 


用 户 





EN 


Q 


5 l 客户 端 





Token 
图 15-9 挑战 /响应 机 制 认 证 流程 


(1) 用 户 在 客户 端 发 起 认证 请 求 。 
(2) 客户 端 将 认证 请 求 发 往 服务 器 。 
(3) 服务 器 返回 客户 端 一 个 挑战 值 。 
(4) 用 户 得 到 此 挑战 值 。 
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(5) 用 户 把 挑战 值 输入 给 一 次 性 口令 产生 设备 〈 令 牌 )。 

(6) 令 牌 经 过 某 一 算法 ， 得 出 一 个 一 次 性 口令 ， 返 回 给 用 户 。 

(7) 用 户 把 这 个 一 次 性 口令 输入 客户 端 。 

(8) 客户 端 把 一 次 性 口令 传送 到 服务 器 端 。 

(9) 服务 器 得 到 一 次 性 口令 后 ， 与 服务 器 端的 计算 结果 进行 匹配 ， 返 回 认 证 结果 。 

C10) 客户 端 根据 认证 结果 进行 后 续 操作 。 

挑战 /响应 机 制 可 以 保证 很 高 的 安全 性 ， 但 该 机 制 存在 一 些 缺陷 : 用户 需 多 次 手工 输 
入 数据 ， 易 造成 较 多 的 输入 失误 ， 使 用 起 来 十 分 不 便 ; 在 整个 认证 过 程 中 ， 客 户 端 和 服 
务 器 信息 交互 次 数 较 多 ， 挑战 值 每 次 都 由 服务 器 随机 生成 ， 使 得 服务 器 开销 过 大 。 


15.4.2 口令 序列 机 制 


口令 序列 (S/key) 机 制 是 挑战 /响应 机 制 的 一 种 实现 ， 原 理 如 下 。 

在 口令 重 置 前 ， 允 许 用 户 登录 次， 那么 主机 需要 计算 出 F(x)， 并 保存 该 值 ， 其 中 
下 为 一 个 单 向 函数 。 用 户 第 一 次 登录 时 ， 需 提供 1(x)。 系 统计 算 FFs), 并 验证 是 
BET F(x)。 如 果 通 过 ， 则 重新 存储 (x)。 下 次 登录 时 ， 则 验证 五 a(x)， 依 此 类 推 。 
为 方便 用 户 使 用 ， 主 机 把 F(X) 一 Fi Go) 计算 出 来 ， 编 成 短语 ， 打 印 在 纸 条 上 。 用 户 只 
需 按 顺 序 使 用 这 些 口令 登录 即 可 。 需 要 注意 的 是 ， 纸 条 一 定 要 保管 好 ， 不 可 遗失 。 由 于 
n 是 有 限 的 ， 用 户 用 完 这 些 口令 后 ， 需 要 重新 生成 新 的 口令 序列 。 

该 机 制 的 致命 弱点 在 于 它 只 支持 服务 器 对 用 户 的 单方 面 认证 ， 无 法 防范 假冒 的 服务 
器 欺骗 合法 用 户 。 男 外 一 个 缺点 是 ， 当 夫 代 值 递 减 为 0 或 用 户 的 口令 泄漏 后 ， 则 必须 对 
S/key 系统 重新 进行 初始 化 。 


15.4.3 ”时 间 同 步 机 制 


基于 时 间 同 步 机 制 的 令 牌 把 当前 时 间作 为 不 确定 因素 ， 从 而 产生 一 次 性 口令 。 

用 户 注册 时 ， 服 务 器 会 分 发 给 用 户 一 个 密 钥 (内 置 于 令 牌 中 )， 同 时 服务 器 也 会 在 数 
据 库 中 保存 这 个 密 钥 。 对 于 每 一 个 用 户 来 说 ， 密 钥 是 唯一 的 。 当 用 户 需要 身份 认证 时 ， 
令 牌 会 提取 当前 时 间 ， 和 密 钥 一 起 作为 杂凑 算法 的 输入 ， 得 出 一 个 口令 。 由 于 时 间 在 不 
断 变化 ， 其 口令 也 绝 不 会 重复 。 用 户 将 口令 传 给 服务 器 后 ， 服 务 器 运行 同样 的 算法 ， 提 
取 数 据 库 中 用 户 对 应 的 密 铀 和 当前 时 间 ， 算 出 口令 ， 与 用 户 传 过 来 的 口令 匹配 ， 然 后 将 
匹配 结果 回 传 给 用 户 。 图 15-10 就 是 基于 时 间 同 步 机 制 的 一 次 性 口令 认证 过 程 。 


3 4 = 
用 户 3 
中 zrg 服务 器 


Token 
图 15-10 基于 时 间 同 步 机 制 的 一 次 性 口令 认证 过 程 
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(1) 用 户 需要 登录 ， 启 动 令 牌 。 

(2) 令 牌 显示 出 当前 时 间 对 应 的 一 次 性 口令 。 

G) 用 户 把 令 牌 产生 的 口令 输入 到 客户 端 。 

(4) 客户 端 把 口令 传 到 服务 器 ， 服 务 器 进行 认证 。 

(5) 服务 器 把 认证 结果 回 传 给 客户 端 。 

(6) 客户 端 把 认证 结果 显示 出 来 。 

时 间 同 步 机制 的 优点 是 : 用 户 使 用 简单 、 方 便 ， 不 需要 像 挑战 /响应 机 制 那样 频繁 地 
输入 数据 ;一 次 认证 的 通信 量 小 ， 通 信 效 率 高 ; 服务 器 的 计算 量 不 是 很 大 。 

但 是 时 间 同 步 机 制 要 求 用 户 的 手持 令 牌 和 服务 器 的 时 钟 偏差 不 能 太 大 ， 所 以 对 设备 
的 时 钟 精 度 要 求 比较 高 ， 设 计 成 本 较 高 。 为 此 ， 在 服务 器 端 设置 一 个 窗口 ， 例 如 ， 如 果 
令 牌 的 时 间 单 位 是 1 分 钟 ， 即 令 牌 上 的 密码 1 分 钟 改 变 1 次 ， 这 时 候 考 虑 到 令 牌 时 钟 和 
服务 器 时 钟 的 偏差 ， 服 务 器 端 在 进行 认证 的 时 候 ， 可 以 把 时 间 窗 口 设置 得 略 大 一 些 ， 服 
务 器 可 以 计算 出 该 用 户 对 应 的 前 1 分 钟 、 当 前 分 钟 、 后 1 分 钟 的 3 个 口令 ， 所 以 只 要 用 
户 传 过 来 的 口令 是 这 3 个 口令 中 的 任意 一 个 ， 服 务 器 都 会 通过 认证 。 


15.4.4 事件 同步 机 制 


事件 同步 机 制 又 名 计数 器 同步 机 制 。 基 于 事件 同步 的 令 牌 将 不 断 变化 的 计数 器 值 作 
为 不 确定 因素 ， 从 而 产生 一 次 性 口令 。 下 面 分 两 个 方面 对 事件 同步 机 制 进行 介绍 。 

1. 事件 同步 机 制 的 认证 过 程 

用 户 注册 时 ， 服 务 器 会 产生 一 个 密 钥 Key (Key 是 唯一 的 ) 和 一 个 已 初始 化 的 计数 
器 (下 文中 用 Counter 代表 计数 器 的 值 )， 并 一 起 注入 到 用 户 手持 的 令 牌 中 ， 同 时 服务 器 
保存 Key 和 Counter 到 数据 库 中 。 当 用 户 需要 身份 认证 时 ， 用 户 触发 令 牌 上 的 按钮 ， 令 
牌 中 的 Counter 加 1， 和 预先 注入 的 Key 一 起 作为 一 个 杂凑 函数 的 输入 ， 生 成 一 个 口令 ; 
用 户 把 这 个 口令 发 送 给 服务 器 ， 服 务 器 端 根据 用 户 名 在 数据 库 中 找到 相应 的 Key 和 
Counter， 用 同样 的 杂凑 函数 进行 运算 ， 将 产生 的 结果 和 用 户 发 送 过 来 的 口令 相 匹配 ， 然 
后 返回 认证 结果 。 如 果 认 证 成 功 ， 服 务 器 端的 Counter 值 加 1， 否 则 Counter 不 变 。 

2. 事件 同步 机 制 的 重 同步 方法 

事件 同步 机 制 的 一 个 明显 不 足 就 是 用 户 和 服务 器 端 很 容易 失去 同步 ， 例 如 ， 用 户 不 
小 心 或 故意 按 了 令 牌 上 的 按钮 ， 但 不 进行 认证 ， 令 牌 的 Counter 就 会 加 1。 由 于 服务 器 上 
的 Counter 还 是 原来 的 值 ， 因 此 服务 器 和 令 牌 就 失去 了 同步 。 为 了 解决 这 个 问题 ， 服 务 
器 端 设置 了 一 个 窗口 值 (ewindow)， 当 用 户 使 用 令 牌 产生 一 次 性 口令 登录 服务 器 时 ， 服 
务 器 会 在 此 窗口 范围 内 逐一 匹配 用 户 发 送 过 来 的 口令 ， 只 要 在 窗口 内 的 任何 一 个 值 匹 配 
成 功 ， 服 务 器 就 会 返回 认证 成 功 信 息 ， 并 且 更 改 数据 库 中 的 计数 器 值 ， 使 服务 器 和 令 牌 
再 次 同步 。 令 牌 重 同步 过 程 如 图 15-11 所 示 。 

显然 ， 出 于 安全 性 的 考虑 ， 这 个 ewindow 的 值 不 能 设置 得 太 大 ， 如 果 产 生 的 一 次 性 
口令 是 6 位 十 进 制 数 ， 这 个 值 的 范围 最 好 是 5 一 10 之 间 。 但 是 还 有 一 种 极端 情况 : 用 户 
把 令 牌 当成 了 玩具 , 不 停 地 去 触发 事件 , 使 令 牌 的 Counter 远 远 超前 于 服务 器 的 Counter, 
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这 样 ，ewindow 就 失去 了 效用 , 就 要 依靠 另外 一 个 窗口 值 (rwindow) 来 重 同 步 。rwindow 
和 ewindow 一 样 ， 也 规定 了 窗口 范围 ， 不 过 这 个 窗口 要 比 ewindow 的 窗口 大 得 多 (对 6 
位 十 进 制 口 令 来 说 , 这 个 窗口 的 值 大 概 在 50~ 100 之 间 )。 如 果 用 户 令 牌 上 的 计数 器 超出 
了 ewindow 的 范围 ， 但 还 没有 超出 rwindow 的 范围 ， 这 时 服务 器 会 启用 rwindow 机 制 |: 
用 户 只 要 连续 输入 两 个 在 rwindow 范围 内 的 一 次 性 口令 ， 验 证 也 会 成 功 ， 但 是 如 果 用 户 
不 停 地 把 玩 令 牌 ， 使 令 牌 的 Counter 超过 了 rwindow 的 范围 ， 那 就 别 无 他 法 ， 用 户 只 全 
拿 着 相关 证 件 去 注册 中 心 办 理 重 同步 业务 了 。 
事件 同步 机 制 类似 于 时 间 同 步 机制 ， 用 户 操作 简单 ， 一 次 认证 过 程 通信 量 小 ， 可 以 
防止 小 数 攻 击 ; 服务 器 计算 量 稍 大 ;系统 实现 比较 简单 ， 对 设备 的 时 钟 精度 没有 要 求 。 















































oo 


















更 新 计数 器 ， 返 回 
认证 成 功 信息 

















启动 rwindow 内 认证 ， 提 示 用 户 
输入 两 个 连续 一 次 性 口令 

















图 15-11 令 牌 重 同步 过 程 


15.4.5” 几 种 一 次 性 口令 实现 机 制 的 比较 

以 上 介绍 了 儿 种 当前 比较 流行 的 一 次 性 口令 实现 机 制 ， 下 面 对 这 儿 种 机 制 在 认证 过 
程 中 的 通信 量 、 系 统 实现 复杂 度 、 机 制 安全 性 和 服务 器 计算 量 等 几 个 方面 做 出 比较 ， 如 
表 15-1 所 示 。 





R151 一 次 性 口令 实现 机 制 的 比较 





机 系统 实现 复杂 度 | ”机 制 安全 性 服务 器 计算 量 
挑战/ 响应 | 较 大 较 简单 BOE | 较 大 
Sikey | 较 大 较 简单 BE | 较 大 
时 间 同 步 | 较 小 较 复杂 较 好 
事件 同 2 较 简单 较 好 


从 表 15-1 中 可 以 看 出 ， 时 间 同 步 和 事件 同步 的 优势 比较 明显 ， 目 前 市 场 上 很 多 公司 
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的 产品 采用 的 大 都 是 基于 时 间 同 步 和 事件 同步 的 方案 。 


155 ”基于 证 书 的 认证 





15.5.1 简介 


近年 来 ， 人 们 越 来 越 多 地 使 用 基于 数字 证 书 的 认证 机 制 。FIPS-196 标准 对 基于 证 书 
的 认证 操作 进行 了 详细 的 说 明 。 通 过 第 3 章 的 学 习 ， 我 们 已 经 知道 ， 在 PKI 中， 服务 器 
和 客户 机 要 验证 对 方 的 数字 证 书 才 可 以 进行 相互 认证 。 

基于 证 书 的 认证 机 制 比 基于 口令 的 认证 机 制 更 加 安全 ， 因 为 这 种 认证 是 靠 “ 用 户 拥 
有 某 种 东西 ”而 不 是 靠 “ 用 户 知道 什么 ”来 实现 认证 的 。 登 录 时 ， 用 户 要 通过 网 络 向 服 
务 器 发 送 证 书 〈 与 登录 请 求 一 起 发 送 )。 服 务 器 中 有 证 书 的 副本 ， 可 以 用 于 验证 证 书 是 否 
有 效 。 但 是 ， 认 证 的 过 程 并 非 如 此 简单 。 这 里 存在 冒 用 他 人 证 书 进行 登录 的 问题 。 例 如 ， 
在 Alice 不 知情 的 情况 下 ，Bob 把 Alice 的 证 书 〈 其 实 就 是 一 个 计算 机 文件 ) 复制 到 其 存 
储 介质 (如 器 盘 ) 上 ， 然 后 以 Alice 的 身份 登录 服务 器 。 

可 以 看 出 ， 这 里 存在 的 主要 安全 问题 是 滥用 别人 的 证 书 。 在 实际 应 用 中 ， 如 何 防止 
证 书 的 滥用 问题 呢 ? 要 解决 这 个 问题 ， 就 必须 把 基于 证 书 的 认证 变 成 双 因 子 认证 。 也 就 
是 说 ， 要 在 基于 证 书 的 认证 基础 上 ， 加 上 基于 口令 的 认证 。 


15.5.2 ”基于 证 书 认证 的 工作 原理 





基于 证 书 的 认证 过 程 分 为 以 下 几 个 步骤 。 

1. 生成 、 存 储 与 发 布 数字 证 书 

CA 为 每 个 用 户 生 成 数字 证 书 ， 并 将 其 发 给 相应 的 用 户 。 此 外 ， 服 务 器 数据 库 中 以 
二 进 制 格式 存储 证 书 的 副本 ， 以 便 用 户 登 录 时 验证 用 户 的 证 书 。 用 户 证 书 的 生成 、 存 储 
与 发 布 过 程 如 图 15-12 所 示 。 


服务 器 
人 ER 证 书 
fg = [fey - 
证 书 机 构 (CA) y 
内 用 户 数据 库 


ID Pubic Key Validity…. 




















P 证 书 Jyoti 159010191 June 2003 
加 =) Amar 415901617 May 2003 
Atul 615019191 July 2003 








给 每 个 用 户 
15-12 ”数字 证 书 的 生成 、 存 储 与 发 布 过 程 


2. 用 户 发 出 登录 请 求 
在 登录 服务 器 时 ， 用 户 发 送 用 户 名 和 数字 证 书 至 服务 器 ， 如 图 15-13 所 示 。 
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3. 服务 器 随机 生成 挑战 什 

当 服 务 器 收 到 用 户 的 用 户 登录 请 求 时 ， 首 先 验 证 G CER 
证 书 ， 检 查 用 户 是 否 有 效 。 如 果 无 效 ， 则 向 用 户 返 回 Q P Pr 
出 错 信 息 ， 如 果 用 户 名 有 效 ， 则 服务 器 生成 一 个 随机 和 


挑战 值 ， 并 将 其 返回 给 用 户 。 随 机 挑战 值 可 以 以 明文 
形式 传送 到 用 户 计算 机 ， 如 图 15-14 所 示 。 


| 第 1 步 :服务 器 按照 数据 库 验 证 用 户 名 
ID=atul 


tJ 用 户 认证 程序 > 

















ID Public Key 
Oa O] Jyoti 159010191 
用 户 名 有 效 Amar 4159011617 


Atul 615019191 


用 户 数据 库 











| 第 2 步 :服务 器 生成 一 个 随机 挑战 值 


A 随机 挑战 值 生成 程序 f 


< 这 里 是 随机 挑战 值 


| 第 3 步 :服务 器 将 随机 挑战 值 发 送 回 用 户 


时 随机 挑战 值 


i YN 服务 器 


图 15-14 服务 器 生成 随机 挑战 值 并 发 给 用 户 


4. 用 户 对 随机 挑战 值 签名 

在 用 户 收 到 来 自 服务 器 的 挑战 值 后 ， 用 户 就 用 其 私 钥 对 该 挑战 值 签名 。 因 此 ， 用 户 
要 访问 存储 介质 中 的 私 钥 文 件 。 但 是 ， 私 钥 文件 不 是 任何 人 都 可 以 访问 的 。 实 际 上 ， 可 
以 使 用 口令 来 限制 对 私 钥 文 件 的 访问 ， 从 而 保护 私 铀 。 因 此 ， 只 有 当 用 户 输入 正确 的 口 
令 时 ， 才 能 打开 私 钥 文 件 ， 如 图 15-15 所 示 。 

用 户 输入 正确 口令 后 ， 应 用 程序 打开 用 户 的 私 钥 文 件 ， 并 用 此 私 钥 对 挑战 值 进行 签 
名 。 实 际 上 ， 正 确 的 做 法 是 在 签名 运算 之 前 对 挑战 值 进行 杂凑 运算 ， 以 获得 固定 长 度 的 
杂凑 值 ， 再 对 杂凑 值 进 行 签名 ; 然后 ， 用 户 计 算 机 将 此 签名 发 送 给 服务 器 。 以 上 过 程 如 
图 15-16 所 示 ， 为 了 叙述 简单 ， 图 15-16 中 省 略 了 杂凑 运算 的 步骤 。 
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第 1 步 : 用 户 计算 机 用 用 户 的 私 钥 将 随机 挑战 值 
加 密 ， 以 生成 数字 签名 






































客户 机 服务 器 
a Set 
8102811291012 
L 原始 随机 挑战 值 
me KS] 私 铀 文件 
90184112124832 用 户 的 数字 签名 
第 2 步 : 用 户 计算 机 将 数字 签名 作为 登录 请 求 的 
一 部 分 发 送 给 服务 器 
访问 私 钥 客户 机 服务 器 
狂 Xns[ | BL come 
ID=atul 
OK Sign=90184112124832 i 
图 15-15 ”输入 正确 的 口令 打开 私 钥 文件 图 15-16 ”用户 计算 签名 


服务 器 在 收 到 用 户 签名 后 ， 立 即 对 签名 进行 验证 。 为 此 ， 服 务 器 首先 应 从 用 户 数据 

库 中 取得 用 户 的 公 钥 ， 再 用 此 公 钥 验证 此 签名 ， 并 恢复 出 挑战 值 。 最 后 ， 服 务 器 比较 恢 

复 的 挑战 值 与 原先 发 送 给 用 户 的 挑战 值 (实际 上 是 比较 两 个 挑战 值 的 杂凑 值 ) 是 否 相同 。 
以 上 过 程 如 图 15-17 所 示 。 

| 第 1 步 : 服务 器 的 用 户 认证 程序 从 用 户 数据 库 中 获得 用 户 公 钥 


ID=atul 
公 钥 检索 












ID Public Key 





















































< KA Jyoti 159010191 
公 Amar 415901617 
服务 器 615019191 Atul 615019191 
用 户 数据 库 
| 第 2 步 : 服务 器 用 用 户 的 公 钥 验证 签名 并 恢复 随机 挑战 值 的 杂凑 值 
[ 等 名 验证 程序 对 随机 挑战 值 的 签名 
90184112124832 
Q < AE 0 
2 验证 随机 
8102811291012 || 615019191 Ep 
服务 器 i 挑战 值 等 名 
8102811291012 














l 第 3 步 : 服务 器 将 这 两 个 已 加 密 的 随机 挑战 值 进行 比较 
挑战 杂凑 
值 


















MRA > 


wi ves 


原始 值 | 8102811291012 
< a 成 功 
图 15-17 ”服务 器 比较 两 个 挑战 值 的 杂凑 值 
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5. 服务 器 向 用 户 返 回 相应 的 消息 
最 后 ， 根 据 上 述 验 证 是 否 通过 ， 服 务 器 向 用 户 返 回 相应 的 消息 ， 以 通知 用 户 操 作 是 
TRH, WEI 15-18 所 示 。 


am 


Application Menu > 
客户 机 1. View Balance 服务 器 
2. Transfer money 

















图 15-18 ”服务 器 向 用 户 返回 认证 结果 


50 ”智能 卡 技术 及 其 应 用 





令 牌 为 个 人 持 有 物 ， 可 用 其 进行 用 户 的 身份 认证 。 用 户 也 可 以 持 磁卡 和 智能 卡 进行 
身份 认证 。 通 常 把 这 些 卡 称 为 身份 卡 ， 简 称 ID 卡 。 早 期 的 磁卡 是 一 种 典 有 磁 条 的 塑 卡 ， 
磁 条 上 有 2 一 3 个 磁道 ,记录 有 关 个 人 信息 ， 用 于 机 器 读 入 识别 。 它 由 高 强度 、 耐 高 温 的 
塑料 制 成 , 防潮 、 耐 磨 、 柔韧 、 便于 携带 。 发 达 国 家 在 20 世纪 60 年 代 就 开始 在 各 类 ATM 
上 推广 使 用 信用 卡 。 国 际 标准 化 组 织 曾 对 卡 和 磁 条 的 尺寸 布局 提出 建议 。 卡 的 作用 类 似 
于 钥匙 ， 用 来 开启 电子 设备 ， 这 类 卡 常 与 个 人 识别 号 PN) 一 起 使 用 。 当 然 ， 最 好 将 
PIN 记 在 心里 而 不 要 写 出 来 ， 但 对 某 些 拥有 多 种 卡 的 用 户 来 说 ， 要 记 住所 有 卡 的 PIN 也 
不 容易 。 

这 类 卡 易于 制造 ， 且 磁 条 上 记录 的 数据 易于 被 转录 ， 因 此 应 设法 防止 卡 的 复制 。 人 
们 已 发 明了 许多 “安全 特征 ”以 改进 智能 卡 的 安全 性 ， 如 采用 水 印花 纹 或 在 磁 条 上 添加 
永久 不 可 擦 掉 的 记录 , 用 以 区 分 真 伪 , 使 敌手 难以 仿制 。 也 可 采用 夹层 带 (Sandwich Tape) 
的 卡 ， 这 种 卡 将 高 矫 顽 磁性 层 和 低 矫 顽 磁性 层 粘 在 一 起 ， 使 低 矫 闫 磁性 层 靠近 记录 磁头 。 
记录 时 用 强力 磁头 ， 使 上 下 两 层 都 录 有 信号 ; 而 读 出 时 ， 先 产生 一 个 消 磁场 ， 洗 掉 表 面 
低 矫 闫 磁性 层 上 的 记录 ， 但 对 高 矫 奖 磁性 层 上 记录 的 记号 无 影响 。 这 种 方案 可 以 防止 用 
普通 磁带 伪造 塑 卡 ， 也 可 防止 用 一 般 磁 头 在 偷 得 的 卡 上 记录 伪造 数据 。 但 这 种 卡 的 安全 
性 不 高 ， 因 为 高 强 磁头 和 高 矫 奖 磁带 并 非 太 难得 到 。 信 用 卡 缺 少 有 效 的 防伪 和 防盗 等 安 
全 保护 措施 ， 全 世界 的 发 卡 公司 和 人 金融 系统 每 年 都 因 安 全 事件 而 造成 巨大 损失 。 因 此 ， 
人 们 开始 研究 和 使 用 更 先进 、 更 安全 和 更 可 靠 的 IC 卡 。 

IC 卡 又 称 有 源 卡 〈Active Card) AREF (Smart Card). ‘EK ADEA aE 
卡 上 代替 无 源 存 储 磁 条 。IC 卡 的 存储 信息 量 远大 于 磁 条 的 250B， 且 有 处 理 功 能 。IC 卡 
上 的 处 理 器 有 4KB 的 程序 和 小 容量 EPROM， 有 的 甚至 有 液晶 显示 和 对 话 功 能 。 智 能 卡 
的 工作 原理 框图 如 图 15-19 所 示 。 

智能 卡 的 安全 性 比 无 源 卡 有 了 很 大 提高 , 因为 敌手 难以 改变 或 读 出 卡 中 所 存 的 数据 。 
在 智能 卡 上 有 一 存储 用 户 永久 性 信息 的 ROM, 在 断 电 情况 下 信息 不 会 消失 。 每 次 使 用 卡 
进行 的 交易 和 支出 总 额 都 被 记录 下 来 , 因而 可 确保 不 能 超支 。 卡 上 的 中 央 处 理 器 对 输入 、 
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输出 数据 进行 处 理 。 卡 中 存储 器 的 某 些 部 分 信息 只 由 发 卡 公司 掌握 和 控制 。 通 过 中 央 处 
理 器 ， 智 能 卡 本 身 就 可 检验 用 卡 人 所 提供 的 任何 密码 ， 将 它 同 储 于 秘密 区 的 正确 密码 进 
行 比 较 ， 并 将 结果 输出 到 卡 的 秘密 区 中 ， 秘 密 区 还 存 有 持 卡 人 的 收 支 账目 ， 以 及 由 公司 
选 定 的 一 组 字母 或 数字 编号 ， 用 以 确定 其 合法 性 。 存 储 器 的 公开 区 存 有 持 卡 人 姓名 、 住 
址 、 电 话 号 码 和 账号 ， 任 何 读 卡 机 都 可 读 出 这 些 数据 ， 但 不 能 改变 它 。 系 统 的 中 央 处 理 
机 也 不 会 改变 公开 区 内 的 任何 信息 。 人 们 正在 研究 如 何 将 更 强 的 密码 算法 嵌入 智能 卡 系 
统 ， 进 行 认证 、 签 字 、 杂 次、 加 /解密 运算 ， 以 增强 系统 的 安全 性 。 


































































































































































































PROM BAK 
it || 持 卡 人 姓名 | 内容 不 保密 
en = 电话 号 码 eat 
z PE ARG 
E ROMI 
RAM} Ta ta KAN 工作 区 
pay 
oth) an) 购 货 日 期 | 保密 
| A mien | elem 
键盘 用 本 卡 购 | HEITER 
REDO | 控制 下 谱写 
电源 秘密 区 
i 联 HEARS | 
+ a n n 制造 厂 代码 | 存储 内 容 
yp [天 容 量 存储 | 基 序列 号 ”| 严格 保密 
机 | feuk zli bi 持 卡 人 不 
. 购 货 记录 信用 卡 发 售 | 直接 接触 
一 时 间 ， 账 目 | 此 区 
收 支 情况 
了 了 操作 系统 











图 15-19 智能卡 的 工作 原理 框图 


智能 卡 发 行 时 都 要 经 过 个 人 化 (Personalization) 或 初始 化 〈Initialization) 阶段 ， 其 
具体 内 容 因 卡 的 种 类 不 同和 应 用 模式 不 同 而 异 。 发 卡 机 构 根 据 系统 设计 要 求 将 应 用 信息 
(如 发 行 代码 等 ) 和 持 卡 人 的 个 人 信息 写 入 卡 中 ,使 该 智能 卡 成 为 持 卡 人 的 专 有 物 ， 并 用 
于 特定 的 应 用 模式 。 一 般 IC 卡 的 个 人 化 有 以 下 几 方 面 的 内 容 : @ 软 、 硬 件 迎 辑 的 格式 化 ; 
@ 写 入 系统 应 用 信息 和 个 人 有 关 信 息 ; @ 在 卡 上 印 制 持 卡 人 名 称 、 发 行 机 构 的 名 称 、 持 
卡 人 的 照片 等 。 

现在 ，IC 卡 已 经 广泛 地 应 用 于 电子 货币 、 电 子 商 务 、 劳 动 保 险 、 医 疗 卫 生 等 对 安全 
性 要 求 更 高 的 系统 中 。 除 了 银行 系统 外 ， 在 付费 电视 系统 中 也 有 应 用 。 付 费 广播 电视 系 
统 每 20s 改变 一 次 加 密 电视 节目 信号 的 密 钥 ， 用 这 类 智能 卡 可 以 同步 地 更 换 解密 密 钥 ， 
以 正常 收看 加 密 频 道 的 节目 。 随 着 智能 卡 的 存储 容量 和 处 理 功能 的 进一步 加 强 ， 它 将 成 
为 身份 认证 的 一 种 工具 ， 可 进一步 扩大 其 应 用 范围 ， 如 制作 电子 护照 、 二 代 身 份 证 、 公 
交 一 卡通 、 校 园 一 卡通 、 电 话 /电视 计 费 卡 、 个 人 履历 记录 、 电 子 门禁 系统 等 。 在 不 久 的 
将 来 ， 个 人 签字 、 指 纹 、 视 网 膜 图 样 等 信息 就 可 能 存 入 智能 卡 ， 成 为 身份 验证 的 更 有 效 
手段 。 未 来 的 智能 卡 所 包含 的 个 人 信息 将 越 来 越 多 ， 人 们 将 智能 卡 作 为 高 度 个 人 化 的 持 
证 来 实施 身份 认证 。 
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智能 卡 的 安全 涉及 许多 方面 ， 如 芯片 的 安全 技术 、 卡 片 的 安全 制造 技术 、 软 件 的 安 
全 技术 及 安全 密码 算法 和 安全 可 靠 协议 的 设计 。 智 能 卡 的 管理 系统 的 安全 设计 也 是 其 重 
要 组 成 部 分 ， 对 智能 卡 的 管理 包括 制造 、 发 行 、 使 用 、 回 收 、 丢 失 或 损坏 后 的 安全 保障 
及 补 发 等 。 此 外 ， 智 能 卡 的 防 复制 、 防 伪造 等 也 是 实际 工作 中 要 解决 的 重要 课题 。 

目前 ， 全 球 生产 制造 IC 卡 的 公司 很 多 。 据 统计 ， 国 内 生产 IC 卡 的 公司 有 二 百 多 家 ， 
国外 的 主要 厂商 有 23 家 ， 销 量 最 大 的 要 属 荷 兰 的 恩 智 浦 (NXP) 公司 、 德 国 的 英 飞 凌 
(Infineon) 公司 、 瑞 士 的 LEGIC 公司 等 。 我 国 IC 卡 的 发 行 量 已 经 达到 9.39 亿 张 ， 其 中 
9 亿 多 张 为 非 接触 式 卡 ，2100 万 多 张 为 接触 式 卡 。2008 年 2 月 ， 荷 兰 政府 发 布 了 一 项 警 
告 ， 指 出 目前 广泛 应 用 的 恩 智 浦 公司 生产 的 Mifare RFID 产品 被 破解 。 德 国学 者 Henryk 
Plotz 和 弗吉尼亚 大 学 的 在 读 博 士 Karsten Nohl 宣称 破解 了 Mifare Classic 的 加 密 算 法 。 在 
第 24 届 黑 客 大 会 (Chaos Communications Congress) 上 ， 两 人 介绍 了 Mifare Classic 的 加 
密 机 制 ,并 且 首 次 公开 宣布 针对 Crypto-1 的 破解 分 析 方 法 ,他 们 展示 了 破解 Mifare Classic 
的 手段 。Nohl 在 一 篇 针对 Crypto-1 加 密 算法 进行 分 析 的 文章 中 声称 , 利用 普通 的 计算 机 
在 儿 分 钟 之 内 就 能 够 破解 出 Mifare Classic 的 密 钥 , 同时 还 表示 他 们 将 继续 致力 于 这 个 领 
域 的 深入 研究 。 由 于 我 国 的 很 多 信息 系统 均 采 用 了 恩 智 浦 公司 的 Mifare 卡 ， 因 此 该 卡 的 
破解 也 对 我 国 很 多 采用 Mifare 卡 的 系统 构成 了 严重 的 安全 威胁 ， 此 事件 已 经 引起 我 国 各 
相关 部 门 的 高 度 重 视 。 


157. AAA 认证 协议 与 移动 IP 技术 




















移动 IP 技术 是 为 了 实现 TCPAP 网 络 用 户 全 方位 、 跨 安全 域 移动 或 漫游 而 采用 的 通 
信 技 术 。 采 用 移动 IP 技术 ,移动 用 户 可 以 在 基于 TCP/IP 的 网 络 中 随意 跨 域 移动 和 漫游 ， 
不 用 修改 计算 机 原来 的 UP 地 址 就 可 继续 享有 原 网 络 中 的 一 切 服务 权限 。 

移动 IP 网 络 中 的 节点 有 3 种 类 型 : 移动 节点 (Mobile Node, MN)、 所 属地 代理 (Home 
Agent, HA) 和 外 地 代理 (Foreign Agent, FA)。 移动 IP 网 络 架构 示意 图 如 图 15-20 所 示 。 





图 15-20 移动 IP 网 络 架构 示意 图 
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MN 为 从 所 属地 网 络 移动 到 外 地 网 络 的 便携 式 终端 。 在 MN 移动 到 外 地 网 络 后 ， 依 
然 使 用 所 属地 网 络 的 IP 地 址 进行 通信 。HA 是 所 属地 网 络 中 的 代理 服务 器 ， 它 保存 有 
MN 的 位 置信 息 。 当 MN 移动 到 外 地 网 络 时 ，HA 能 够 将 发 往 MN 的 数据 包 转 发 给 FA， 
并 解析 MN 发 回 的 数据 包 ,， 转 发 给 相应 的 通信 节点 。FA 是 外 地 网 络 中 的 代理 服务 器 E 
能 够 将 HA 送 来 的 数据 包 转 发 给 MN， 并 作为 外 地 网 络 中 移动 终端 的 默认 路 由 器 。 

移动 IP 有 两 类 : 基于 IPv4 的 移动 IPv4 及 基于 IPv6 的 移动 I Pv6。 有 关 两 种 移动 IP 
的 工作 机 制 请 参见 相关 文献 。 移 动 IP 的 安全 问题 主要 集中 在 两 个 方面 : @ 移动 节点 注 
册 开 始 前 各 个 实体 间 会 话 密 钥 的 分 发 , 以 及 彼此 之 间 安 全 关联 的 建立 ; @ 移动 节点 注册 
过 程 中 轻 量 级 保密 与 认证 协议 的 设计 与 应 用 。 将 移动 IP 技术 与 AAA (Authentication, 
Authorization, Accouting) 技术 相 结 合 ,可 以 解决 移动 IP 的 认证 、 授 权 及 计 费 问题 ,为 实 
现 移动 UP 技术 的 大 规模 商业 化 应 用 奠定 安全 基础 。 


15.7.1 AAA 的 概念 及 AAA 协议 


早期 的 AAA 的 概念 是 为 了 解决 电话 接 入 用 户 的 身份 认证 、 授 权 和 计 费 而 提出 的 。 
随 着 Internet 的 发 展 ，IETF 工作 组 对 原 AAA 协议 进行 了 改进 ， 提 出 了 RADIUS, 
DIAMETER 等 新 的 AAA 协议 。 下 面 对 AAA 的 基本 概念 及 其 主流 协议 加 以 介绍 。 


1. AAA 的 基本 概念 

WHE (Authentication) 是 网 络 运营 商 在 允许 用 户 使 用 网 络 资源 前 对 用 户 身 份 进行 验 
证 的 过 程 。 授 权 (Authorization) 定义 了 在 用 户 通 过 认证 之 后 可 以 享受 的 服务 。 计 费 
(Accounting) 记录 了 用 户 使 用 资源 的 详细 信息 ， 这 些 原 始 信息 可 以 用 来 生成 计 费 账单 或 
进行 审计 。 图 15-21 给 出 了 一 个 典型 的 AAA 应 用 体系 结构 。 远程 用 户 通过 电话 线 与 网 络 
接 入 服务 器 CNAS) 连接 ， 向 NAS 提出 接 入 请 求 。NAS 接收 这 个 请 求 ， 然 后 把 用 户 的 
有 关 信息 封装 在 NAS 消息 包 中 ， 发 送 给 AAA 服务 器 ， 由 AAA 服务 器 对 这 个 请 求 进行 
认证 ， 并 返回 相应 的 允许 信息 或 拒绝 信息 。 





AAA 服务 器 








mé 。 ”防火 墙 
图 15-21 AAA 应 用 体系 结构 
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AAA 这 种 分 布 式 结构 由 服务 器 来 完成 认证 、 授权 和 计 费 工作 ,大 大 减轻 了 网 关 的 压 
力 ， 能 够 处 理 大 量 的 用 户 请 求 ， 支 持 多 种 计 费 功能 ， 可 以 对 用 户 进行 有 效 的 控制 ， 因 而 
具有 较 强 的 生命 力 ， 在 接 入 网 中 有 着 广泛 的 应 用 。 


2. RADIUS 协议 

RADIUS (Remote Access Dial-in User Sevice) 是 为 了 在 NAS 和 RADIUS 服务 器 之 
间 传 递 认证 、 授 权 和 配置 信息 而 设计 的 。 它 最 初 的 设计 思路 是 为 电话 接 入 访问 服务 的 。 
NAS 通过 Modem 池 或 其 他 接口 与 外 界 相连 。 用 户 通过 这 些 接口 进入 网 络 分 享 信息 和 资源 。 

RADIUS 实现 了 对 通过 这 些 接口 进入 的 用 户 进行 身份 识别 、 授 权 和 计 费 功能 。 这 个 
协议 基于 客户 /服务 器 模式 ，NAS 作为 RADIUS 的 客户 端 运行 ， 它 负责 将 用 户 的 信息 传 
递 给 指定 的 RADIUS 服务 器 ， 并 将 服务 器 的 回应 返回 给 用 户 ， 并 为 客户 返回 所 有 为 用 户 
提供 服务 所 必需 的 配置 信息 。 它 还 可 以 为 其 他 RADIUS 服务 器 或 其 他 种 类 的 认证 服务 器 
提供 代理 ， 在 RADIUS 服务 器 和 NAS 之 间 共 享 一 对 密 铀 ， 它 们 之 间 的 通信 受到 这 对 密 
钥 的 保护 ， 同 时 提供 一 定 的 完整 性 保护 ， 对 于 一 些 敏感 信息 〈 如 用 户口 令 )， 还 提供 了 机 

RADIUS 服务 器 能 支持 多 种 认证 用 户 的 方法 ， 当 用 户 提供 了 用 户 名 和 原始 密码 后 ， 
RADIUS 服务 器 可 以 支持 点 对 点 的 PAP 认证 (PPP PAP)， 点 对 点 的 CHAP 认证 (PPP 
CHAP)， 以 及 UNIX 的 登录 操作 CUNIX Login) 和 其 他 认证 。 

RADIUS 的 基本 特征 有 如 下 两 个 。 

(1) 采用 客户 /服务 器 (Client/Server) 结构 。 通 常情 况 下 ，NAS 作为 RADIUS 客户 
HAI RADIUS 服务 器 进行 通信 。 而 RADIUS 服务 器 还 可 以 扮演 代理 服务 器 的 角色 ,可 以 
把 一 个 认证 或 计 费 请 求 转发 给 另 一 个 RADIUS 服务 器 。 

(2) 采用 属性 方式 增加 功能 。RADIUS 消息 中 使 用 属性 来 携带 AAA 信息 。 常 见 的 
属性 有 用 户 名 、 用 户口 令 、 封 装 协议 、 端 口号 、 应 用 类 型 等 。RADIUS 通过 增加 属性 的 
方式 来 使 RADIUS 有 更 强 的 功能 , 这 种 方式 使 得 RADIUS 可 以 方便 地 对 已 有 的 系统 进行 
扩充 以 增加 新 的 功能 ， 这 大 大 增强 了 系统 的 可 扩展 性 。 


3. DIAMETER 协议 

随 着 网 络 技术 的 发 展 和 应 用 需求 的 增长 ， 新 的 网 络 服务 不 断 涌现 ， 用 户 需 要 一 种 安 
全 的 方式 接 入 网 络 ， 网 络 也 要 对 用 户 访问 网 络 资源 授权 并 进行 计 费 。 目 前 ， 这 种 AAA 
服务 是 由 RADIUS 或 TACACS+ 提 供 的 ， 但 是 这 些 协 议 是 为 拨号 用 户 设计 的 ， 无 法 有 效 
地 为 新 的 业务 提供 AAA 服务 。 

针对 RADIUS 的 不 足 , IETF 的 AAA 工作 组 从 20 世纪 90 年 代 末期 开始 着 手 设计 下 
一 代 的 AAA 协议 DIAMETER。DIAMETER 定义 了 一 种 AAA 的 体系 结构 ， 它 由 一 个 基 
本 协议 和 一 组 扩展 协议 组 成 (如 强 安全 性 安全 扩展 、Mobile IP 扩展 和 PPP 漫游 扩展 等 )。 
通用 的 功能 (如 传输 控制 和 流量 控制 ) 在 基本 协议 中 定义 ， 而 特定 的 应 用 功能 在 相应 的 
扩展 中 进行 说 明 。DIAMETER 基本 协议 提供 了 AAA 协议 所 需 的 最 基本 要 求 ， 基 本 协议 
不 能 单独 使 用 ， 必 须 与 DIAMETER 应 用 扩展 相 结合 才能 使 用 。 

图 15-22 描述 了 逻辑 上 的 DIAMETER 的 框架 结构 。Mobile IP 扩展 为 Mobile IP 用 户 
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提供 AAA 服务 ， 漫 游 扩 展 为 漫游 的 PPP 用 户 提供 认证 和 计 费 支持 ，Mobile IP, PPP 漫 
游 等 应 用 的 扩展 协议 建立 在 基本 协议 之 上 。 
4. RADIUS 与 DIAMETER 比较 

RADIUS 协议 是 在 20 世纪 90 年 代 初期 设计 的 。 s | E z 
随 着 Internet 的 飞速 发 展 ， 路 由 器 和 NAS 在 数量 上 和 
复杂 性 上 都 有 了 很 大 的 提高 ， 各 种 新 的 网 络 服务 也 不 
断 出 现 ， 使 得 RADIUS 越 来 越 不 适应 现在 的 网 络 。 主 
要 表现 在 以 下 几 个 方面 。 

a) 可 携带 的 属性 数据 的 长 度 太 短 

在 RADIUS 中 ,包头 的 长 度 段 只 有 1B， 这 就 大 大 限制 了 一 个 RADIUS 消息 包 的 长 
度 。 随 着 网 络 的 复杂 化 和 服务 的 多 样 化 ， 用 户 的 认证 信息 越 来 越 多 ， 这 意味 着 AAA 协 
议 信息 包 中 需要 携带 更 多 的 信息 。 

(2) 同时 等 待 认证 的 用 户 数 最 多 为 255 个 

一 个 用 户 提出 请 求 后 ， 在 得 到 回复 之 前 有 一 段 等 待 时 间 ， 在 这 段 时 间 内 ， 用 户 处 于 
等 待 状态 , RADIUS 通过 给 用 户 分 配 一 个 ID 号 来 识别 同一 时 刻 不 同 的 等 待 用 户 , 但 是 用 
来 标识 ID 号 的 字段 只 有 8b， 这 就 限制 了 同时 等 待 回复 的 用 户 数 只 有 255 个 ， 这 在 某 些 
大 型 网 络 中 是 远 远 不 能 满足 要 求 的 。 

(3) 无 法 控制 到 服务 器 的 流 

RADIUS 是 使 用 UDP 进行 数据 传输 的 ， 而 UDP 没有 流量 控制 ，RADIUS 对 此 也 没 
有 进行 扩展 ， 随 着 用 户 数 量 的 增加 ， 服 务 器 的 负担 越 来 越 重 ， 没 有 流量 控制 机 制 ， 将 会 
造成 大 量 的 认证 、 计 费 请 求 涌 向 服务 器 ， 造 成 服务 器 的 瘫痪 ， 从 而 影响 网 络 的 稳定 性 和 
可 靠 性 。 

(4) 无 重 传 过 程 和 错误 恢复 支持 

RADIUS 的 客户 端 在 一 段 时 间 之 内 没有 收 到 回复 时 ， 可 以 重 发 原来 的 请 求 。 但 是 ， 
服务 器 端 没有 重 发 机 制 。 如 果 服 务 器 的 回复 丢失 ， 即 使 客户 端的 请 求 正确 到 达 了 ， 也 必 
须 重新 发 送 一 个 请 求 。 

(5) 客户 /服务 器 模式 的 协议 

RADIUS 采用 客户 /服务 器 模式 ， 其 缺点 是 服务 器 端 只 能 被 动 地 回答 客户 端的 请 求 ， 
而 不 能 主动 发 起 一 个 认证 过 程 ， 这 也 大 大 限制 了 客户 端 和 服务 器 端的 通信 能 力 。 

(6) 安全 性 差 

RADIUS 只 对 用 户 的 口令 部 分 进行 加 密 ， 而 且 无 法 防止 重 放 攻 击 ; 另外，RADIUS 
支持 代理 功能 ， 即 允许 一 个 RADIUS 服务 器 把 一 个 请 求 转发 给 另 一 个 RADIUS 服务 器 。 
但 是 ， 在 这 种 情况 下 ，RADIUS 只 支持 点 到 点 的 安全 性 ， 即 中 间 的 每 一 个 代理 RADIUS 
服务 器 都 有 能 力 对 用 户 的 认证 、 计 费 信息 进行 修改 ， 这 也 是 一 个 很 大 的 安全 隐患 。 

DIAMETER 协议 是 IETF 为 了 解决 RADIUS 的 不 足 而 设计 的 , 它 在 RADIUS 的 基础 
之 上 增加 了 新 的 功能 ， 更 能 满足 网 络 接 入 和 应 用 需求 ， 主 要 表现 在 以 下 儿 方 面 。 

O) 轻 量 级 而 且 易 于 实现 。 DIAMETER 基本 协议 的 目标 是 为 各 种 应 用 扩展 协议 提供 





Mobile IP 扩 展 


























DIAMETER 基 本 协议 “| 强 安全 性 扩展 
图 15-22 DIAMETER 的 框架 结构 
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安全 、 可 靠 、 快 速 的 传输 平台 ， 因 此 必须 是 轻 量 级 的 和 易于 实现 的 。 

(2) 大 的 属性 数据 空间 。 在 DIAMETER 中 , 数据 对 象 是 封装 在 AVP (Attribute Value 
Pair) 中 的 ，AVP 用 来 传输 用 户 的 认证 信息 和 授权 信息 、 交 换 用 以 计 费 的 资源 使 用 信息 、 
中 继 代理 和 重 定 向 DIAMETER 消息 包 等 。 随 着 网 络 的 复杂 化 ，DIAMETER 消息 包 所 要 
携带 的 信息 越 来 越 多 ， 因 此 属性 空间 一 定 要 足够 大 才能 满足 未 来 大 型 复杂 网 络 的 需要 。 

(3) 支持 同步 的 大 量 用 户 的 请 求 。 随 着 网 络 规模 的 扩大 ，AAA 服务 器 要 求 同 时 处 理 
大 量 的 用 户 的 请 求 ,这 要 求 NAS 端 能 保存 大 量 等 待 认证 结果 的 用 户 的 接 入 信息 ,RADIUS 
的 255 个 同步 请 求 显然 是 不 够 的 , DIAMETER 中 定义 了 同时 支持 222 个 用 户 的 接 入 请 求 。 

(4) 可 靠 的 传输 机 制 和 错误 恢复 机 制 。 DIAMETER 要 求 能 够 控制 重 传 策略 ， 这 一 点 
TE NAS 切换 到 一 个 备用 DIAMETER 服务 器 时 更 加 重要 。DIAMETER 还 支持 窗口 机 制 ， 
这 要 求 每 个 会 话 方 动态 调整 自己 的 接收 窗口 ， 以 免 发 送 超出 对 方 处 理 能 力 的 请 求 。 

虽然 DIAMETER 和 RADIUS 有 很 大 的 不 同 ， 但 是 作为 一 个 完善 的 认证 协议 ， 
RADIUS 还 是 有 很 多 值得 DIAMETER 借鉴 的 东西 ; 作为 一 个 还 处 于 草案 阶段 的 协议 ， 
DIAMETER 还 有 很 多 方面 需要 进行 改进 。 


15.7.2 ”移动 IP 与 AAA 的 结合 


1. 移动 IP 下 的 AAA 模型 

具有 移动 IP 的 AAA 服务 器 如 图 15-23 所 示 。AAAF 和 AAAH 完成 认证 功能 ，FA 
和 HA 完成 授权 和 计 费 功能 。 当 一 个 移动 节点 MN 漫游 到 外 地 域 时 ， 需 要 在 外 地 域 中 进 
行 注册 。 在 初始 注册 过 程 中 ,MN 需要 访问 AAAH, AAAH 对 移动 节点 的 证 书 进行 验证 ; 
认证 成 功 后 ，FA 得 到 授权 继续 处 理 移动 节点 的 注册 过 程 。 初 始 的 AAA 事务 不 需要 HA 
的 参与 , 但 移动 IP 要 求 HA 和 FA 处 理 随 后 的 每 一 个 注册 过 程 ， 如 图 15-23 中 虚线 所 示 。 
要 使 HA 和 FA 能 够 处 理 以 后 的 注册 过 程 ， 这 意味 着 在 初始 注册 过 程 中 ， 通 信 各 实体 之 
间 要 执行 一 系列 的 协议 。 在 初始 注册 过 程 完成 后 ，AAAF 和 AAAH 就 不 再 参与 交互 ， 随 
后 的 注册 过 程 只 需 沿 着 图 15-23 中 的 虚线 路 径 进行 即 可 。 
AAAF AAAH 























安全 关联 
六 XC ae 
rity 


AAAF=Foreign Autho 
AAAH=Home Authority 


图 15-23 具有 移动 IP 的 AAA 服务 器 
任何 由 FA 通过 AAAF 送 往 AAAH 的 移动 卫 数 据 对 AAA 服务 器 来 说 都 是 不 透明 的 。 
AAA 服务 器 所 需要 的 授权 数据 都 必须 由 FA 传送 给 它们 ,这 些 授权 数据 由 MN 提供 。 FA 
为 一 个 在 移动 IP 注册 协议 和 AAA 之 间 的 转换 代理 。 
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对 于 不 同 域 中 的 两 个 节点 之 间 交 换 的 数据 ， 需 要 采取 一 定 的 措施 来 保证 它们 的 安全 
性 ， 这 通过 对 称 或 非 对 称 的 密码 算法 来 实现 。 

为 了 保证 随后 的 注册 过 程 的 安全 性 ，AAA 服务 器 必须 在 初始 移动 IP 注册 过 程 中 进 
行 密 钥 的 分 配 。 这 些 分 配 的 密 钥 可 以 提供 必要 的 安全 功能 。 

2. AAA 下 的 移动 IP 注册 

为 了 保证 注册 过 程 中 交互 的 信 令 消息 的 安全 , AAA 方案 要 求 通信 实体 之 间 预 先 建立 
4 个 安全 关联 。 这 4 个 安全 关联 分 别 为 : 

e AAAF 与 AAAH 共享 的 安全 关联 (SA1)。 

o AAAF 与 FA 共享 的 安全 关联 (SA2)。 

e AAAH 与 HA 共享 的 安全 关联 (SA3). 

。 AAAH 与 MN 共享 的 安全 关联 (SA4)。 

在 认证 及 注册 之 后 ，AAA 过 程 已 经 结束 。MN、FA 和 HA 之 间 开 始 执行 移动 IP 操 
作 ，AAAF 和 AAAH 不 再 参与 。 为 了 确保 在 认证 之 后 FA、HA、MN 之 间 传 递 的 移动 IP 
消息 的 安全 性 ，AAAH 要 在 认证 过 程 中 为 它们 分 发 3 个 会 话 密 钥 (Session Key)， 以 便 
它们 在 两 两 之 间 建 立 安全 关联 。 这 3 个 共享 的 会 话 密 钥 分 别 为 : 

e MN 与 HA 共享 的 密 钥 (KMN-HA)。 

e MN 与 FA 共享 的 密 钥 (KMN-FA)。 

o FA 与 HA FEWR (Krana) o 

移动 IP 的 认证 注册 过 程 如 图 15-24 所 示 ， 具 体 步骤 如 下 。 















































MN FA AAAF AAAH HA 
(1) Adv&Challenge 
(2) Request 
(3) FRR 

(4) FRR 
(5) HOR 
(6) HOA 

(7) FRA 








a ORA | FRR: Foreign-Registration-Request Commamd 
(9) Reply FRA: Foreign-Registration-Answer Command 

HOR: Home-Agent-MIP-Request Command 

HOA: Home-Agent-MIP-Answer Command 











图 15-24 ”移动 IP 的 认证 注册 过 程 


(1) MN 进入 外 地 域 ， 开 始 监 听 FA 的 路 由 广播 消息 ,并 根据 消息 中 的 地 址 前 级 ， 结 
合 接口 标识 ， 生 成 转交 地 址 COA. 

(2) MN 将 包含 身份 标识 NAI (user@realm)、 注 册 请 求 及 密码 等 认证 数据 的 请 求 消 
息 发 送 给 FA. 

G) FA 根据 消息 中 的 随机 数 或 时 间 截 判断 消息 是 否 新 鲜 。 如 果 新 鲜 ，FA 将 提取 出 
NAI、 密 码 、 所 属地 等 信息 ， 重 新 封装 成 AAA 请 求 消息 FRR， 并 将 FRR 发 送 给 AAAF. 
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(4) AAAF 收 到 FRR 消息 后 ， 首 先 利 用 与 FA 共享 的 安全 关联 SA2 验证 消息 是 否 来 
自 真正 的 FA， 如 果 验 证 成 功 ， 将 该 消息 转发 给 AAAH 服务 器 进行 MN 身份 认证 。 

(5) AAAH 利用 SA1 验证 收 到 的 FRR 消息 是 否 来 自 合 法 的 AAAF。 若 验证 成 功 ， 
则 根据 NAT 和 用 户 认证 数据 验证 用 户 身份 是 否 合法 。 如 果 确 为 合法 用 户 , AAAH 提取 出 
注册 请 求 消息 并 嵌入 HOR 消息 中 ， 发 送 给 HA 进行 绑 定 更 新 ， 并 根据 要 求 分 发 MN 的 
会 话 密 钥 。 

(6) HA 对 MN 绑 定 更 新 成 功 后 ， 生 成 注册 应 答 消 息 ， 将 其 封装 在 HOA 消息 中 , 返 
回 给 AAAH. 

(7) AAAH 把 注册 应 答 和 用 户 认 证 授权 信息 封装 成 FRA 消息 ， 转 发 给 AAAF. 

(8) FRA 消息 中 包含 认证 结果 。 如 果 对 MN 的 身份 认证 成 功 ， 则 AAAF 将 MN 相 
关 信 息 〈 如 会 话 密 钥 等 ) 添加 到 缓 在 中 ;同时 将 FRA 转发 给 FA. 

(9) FA 将 嵌入 在 FRA 消息 中 的 注册 应 答 消息 发 送 给 MN。 若 认证 是 成 功 的 ， 则 FA 
将 允许 MN 享受 网 络 服务 。 

认证 注册 过 程 主要 完成 了 以 下 任务 : @ 认 证 MN 的 身份 ， 并 根据 认证 结果 对 MN 授 
权 ; @ 保 护 注册 消息 的 安全 ， 并 按 注册 请 求 消息 中 的 内 容 更 新 MN 绑 定 列表 ; @ 为 FA、 
HA, MN 之 间 分 配 会 话 密 钥 。 














习 题 

一 、 选 择 题 
1. 确定 用 户 身份 的 技术 称 为 

A. 认证 B. 授权 C. 保密 D. 访问 控制 
2. 是 最 常用 的 认证 机 制 。 

A. 智能 卡 B. PIN C. 生物 特征 识别 D. 口令 
3. 是 认证 令 牌 随机 性 的 基础 。 

A. 口令 B. 种 子 C. 用 户 名 D. 杂凑 函数 
4. 基于 口令 的 认证 是 认证 。 

A. 单 因 子 B. 双 因 子 C. 三 因子 D. 四 因子 
5. 基于 时 间 的 令 牌 中 的 可 变 因子 是 

A. 种 子 B. 随机 挑战 值 C. 当前 的 时 间 D. 计数 器 值 
6. 基于 事件 的 令 牌 中 的 可 变 因子 是 

A. 种 子 B. 随机 挑战 值 C. 当前 的 时 间 D. 计数 器 值 
7. 生物 认证 基于 

A. 人 的 特性 B. 口令 C. 智能 卡 D. PIN 
8. 在 认证 中 ， 只 有 一 方 认证 另 一 方 。 

A. 单 向 B. 双向 C. 基于 时 间 惟 的 D. 基于 身份 的 
二 、 简 答题 


1. 在 实际 应 用 中 ， 人 们 对 身份 认证 系统 的 要 求 有 哪些 ? 
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. 身份 证 明 系 统 可 以 分 为 哪 两 类 ? 它们 之 间 有 什么 区 别 ? 
. 什么 是 口令 认证 ? 请 简 述 这 种 方式 的 优 缺 点 。 
. 什么 是 一 次 性 口令 ? 实现 一 次 性 口令 有 哪儿 种 方案 ? 请 简 述 它们 的 工作 原理 。 
. 如 何 解 决 基于 时 间 机 制 令 牌 的 失 步 问题 ? 
. 如 何 解决 基于 事件 机 制 令 牌 的 失 步 问题 ? 
. 动态 口令 令 牌 有 哪 两 种 类 型 ? 它们 的 工作 原理 有 何不 同 ? 
. 基于 生物 特征 的 身份 识别 有 哪儿 种 ? 与 其 他 身份 认证 相 比 , 它们 有 哪些 优 缺 点 ? 
9. 请 画 一 个 表格 ， 详 细 比 较 各 种 一 次 性 口令 认证 方案 的 优 缺 点 。 
10. 移动 IP 的 安全 问题 集中 在 哪 两 个 方面 ? 移动 IP 与 AAA 结合 主要 解决 的 问题 是 
什么 ? 
11. 移动 IP 的 网 络 架构 是 什么 样 的 ? 
12. 简要 描述 移动 卫 与 AAA 结合 的 注册 过 程 。 





oo ~ 和 ww 上 上 ww 
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